• Extraer datos de un volcado de memoria

  • Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
 #494876  por banderas20
 03 Jul 2019, 00:12
Buenas.

Tengo un volcado de memoria de una máquina Windows. La estoy analizando con Volatility, y veo procesos abiertos de los cuáles me gustaría saber la contraseña que se introdujo, o datos en vivo.

¿Sabéis cómo puedo hacerlo?

Gracias!
 #494922  por Balloffet
 12 Jul 2019, 02:24
llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.
 #494931  por banderas20
 13 Jul 2019, 09:44
Balloffet: escribió: llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.
Sí. Ya sé el proceso y su PID. He volcado el proceso, pero no puedo abrirlo con un editor hexadecimal. Tampoco sé cómo acceder a los ficheros asociados a ese proceso que están almacenados en memoria.

Gracias.