296 слов
1 минут
Что такое Дамп строк
2024-11-20
Без категории
Без тегов

Дамп строк и памяти — это извлечение данных, хранящихся в оперативной памяти или других ресурсах системы, с целью анализа содержимого. В осинте и пентесте такие дампы используются для получения полезной информации, скрытой от обычного просмотра.

1. Дамп строк (strings dump)#

Что это?#

Дамп строк — это процесс извлечения текстовых данных из файлов, программ или памяти. Обычно используються утилиты , которые анализируют бинарные данные и вытягивают из них читаемые строки

Где применяется ?#

Извлечение паролей или токенов. Некоторые программы хранят такие данные в своих бинарниках или временных файлах.
Анализ бинарников. При тестировании на безопасность можно узнать много полезной информации: имена функций, URL, IP-адреса, ключи API и т.д.
Анализ файлов памяти. Часто текстовые строки можно извлечь из дампа памяти процесса.

Инструменты:#

strings (Linux/Windows): быстрое вытягивание читаемых строк.
binwalk: анализ бинарников (например, прошивок).
hex editors (HxD, wxHexEditor): для поиска и анализа строк вручную.

2. Дамп памяти (memory dump)#

Что это?#

Дамп памяти — это сохранение содержимого оперативной памяти (RAM) или процесса для дальнейшего анализа.

Где применяется?#

Исследование процессов. Например, можно найти пароли, токены или зашифрованные данные, пока они хранятся в памяти. Извлечение хэшей. Часто при тестировании на проникновение дамп памяти используется для вытаскивания хэшей паролей из таких процессов, как lsass.exe (в Windows). Поиск уязвимостей. Анализ дампов помогает найти участки памяти, где могут быть баги, использующиеся для эксплуатации. Инцидент-респонс. Дамп памяти используется для расследования атак (malware, руткиты).

Инструменты:#

Windows:

ProcDump (от Microsoft Sysinternals): создание дампа процесса. WinDbg: отладка памяти. Mimikatz: вытягивание паролей из памяти процесса lsass.exe.

Linux:

gcore: для снятия дампа процесса. dd: извлечение данных из памяти. volatility: анализ дампов памяти.

Кроссплатформенные:#

Memdump, LiME (Linux Memory Extractor): извлечение данных из оперативной памяти.

Пример использования в пентесте:#

  1. Дамп строк из бинарника веб-приложения:

(strings app.bin | grep “http”)

  1. Дамп памяти для поиска паролей в Windows: С помощью Mimikatz:

sekurlsa::logonpasswords → Извлекает пароли, хранящиеся в памяти процесса lsass.exe.

  1. Анализ дампа для извлечения данных с Volatility:

volatility -f memory.dump —profile=Win7SP1x64 hashdump → Извлекает хэши паролей пользователей из дампа памяти Windows.

DDoS: Технологии атаки и защиты
© 2024 Xex. All Rights Reserved. / RSS / Sitemap