Página 1 de 1

Extraer datos de un volcado de memoria

Publicado: 03 Jul 2019, 00:12
por banderas20
Buenas.

Tengo un volcado de memoria de una máquina Windows. La estoy analizando con Volatility, y veo procesos abiertos de los cuáles me gustaría saber la contraseña que se introdujo, o datos en vivo.

¿Sabéis cómo puedo hacerlo?

Gracias!

Re: Extraer datos de un volcado de memoria

Publicado: 12 Jul 2019, 02:24
por Balloffet
llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.

Re: Extraer datos de un volcado de memoria

Publicado: 13 Jul 2019, 09:44
por banderas20
Balloffet: escribió: llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.
Sí. Ya sé el proceso y su PID. He volcado el proceso, pero no puedo abrirlo con un editor hexadecimal. Tampoco sé cómo acceder a los ficheros asociados a ese proceso que están almacenados en memoria.

Gracias.