Shutterstock 112692424

MemProcFS - El sistema de archivos de proceso de memoria


El sistema de archivos de proceso de memoria es una manera fácil y conveniente de acceder a la memoria física como archivos de un sistema de archivos virtual. Con esta herramienta es fácil hacer un barrido de memoria y apuntar, hacer clic sin la necesidad de los complicados argumentos de línea de comandos, podremos acceder a cada contenido de memoria y artefactos a través de archivos en un sistema de archivos virtual montado o mediante una biblioteca de aplicaciones con muchas funciones para incluir en sus propios proyectos

 

La herramienta la encontramos en: https://github.com/ufrisk/MemProcFS


Esta herramienta analiza los archivos de volcado de memoria, memoria en vivo a través de DumpIt o WinPMEM, memoria en vivo en modo de lectura y escritura a través de dispositivos PCILeech y PCILeech-FPGA vinculados


Incluso es posible conectarse a un agente de adquisición de memoria LeechAgent remoto a través de una conexión segura, lo que permite una respuesta remota a incidentes de memoria en vivo, ¡incluso en conexiones de latencia más alta y ancho de banda bajo!

 

 

Use sus herramientas favoritas para analizar la memoria: use sus editores hexadecimales favoritos, sus secuencias de comandos de Python y Powershell, WinDbg o sus desensambladores y depuradores favoritos. Todo funcionará con el Sistema de archivos de proceso de memoria simplemente leyendo y escribiendo archivos

 

 

 

 

Incluya el Sistema de archivos de proceso de memoria en sus proyectos de programación Python o C / C ++! ¡Casi todo en el Sistema de archivos de proceso de memoria está expuesto a través de una API fácil de usar para usar en sus propios proyectos! La arquitectura amigable con los complementos permite a los usuarios extender fácilmente el sistema de archivos de proceso de memoria con complementos nativos C .DLL o complementos Python .py, ¡proporcionando capacidades de análisis adicionales

 

Consulte el wiki del proyecto para obtener información más detallada sobre el sistema de archivos, su API y sus módulos de complementos


Consulte el proyecto LeechCore para obtener información sobre los métodos de adquisición de memoria compatibles y el acceso remoto a la memoria a través del servicio LeechService

 

Análisis de memoria rápido y fácil a través del sistema de archivos montado:

 

No importa si no tiene conocimiento previo del análisis de memoria o si es un usuario avanzado, ¡el Sistema de archivos de proceso de memoria (y la API) pueden ser útiles! Haga clic alrededor de los objetos de memoria en el sistema de archivos.

 

 

 

Extensa API de Python y C / C ++:

 

Todo el sistema de archivos de proceso de memoria está expuesto como API. Existen API para C / C ++ vmmdll.h y Python vmmpy.py. El sistema de archivos en sí está disponible virtualmente a través de la API sin la necesidad de montarlo. El análisis de procesos especializados y la funcionalidad de alteración de procesos se facilitan al llamar a la funcionalidad API. ¡Es posible leer tanto la memoria de proceso virtual como la memoria física! El siguiente ejemplo muestra la lectura de 0x20 bytes de la dirección física 0x1000:

 

>>> from vmmpy import * 
>>> VmmPy_Initialize('c:/temp/win10_memdump.raw')
>>> print(VmmPy_UtilFillHexAscii(VmmPy_MemRead(-1, 0x1000, 0x20)))
0000 e9 4d 06 00 01 00 00 00 01 00 00 00 3f 00 18 10 .M..........?...
0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................


Artículos que te pueden interesar

Solución del Evento CTF del Open Hacking Guatemala 2019

Open Hacking Guatemala es un congreso de talla internacional que reúne a los máximos exponentes Iberoamericanos de Ciberseguridad y Hacking Ético, que celebra su cuarta edición y en donde la innovación, investigación y el conocimiento son los principales pilares de este evento que aporta conocimiento por medio de las investigaciones que son presentadas por cada ponentes, para el crecimiento de la ciudad de Guatemala..

Qué es el ataque CRLF

El término CRLF se refiere al retorno de carro (ASCII 13, \r) de un avance de línea (ASCII 10, \n). Normalmente estamos acostumbrados a notar la terminación de una línea, sin embargo, se trata de manera diferente en los populares sistemas operativos actuales. Por ejemplo: en Windows, se requieren tanto CR como LF para anotar el final de una línea, mientras que en Linux / UNIX solo se requiere un LF. En el protocolo HTTP, la secuencia CR-LF siempre se usa para terminar una línea..