SPbCTF Pro — анализ дампов памяти в Volatility

Описание: В серии SPbCTF Pro мы собрали наши видео, в которых речь о более профессиональных навыках, чем в наших сезонах для новичков. Этот релиз про форенсику, с тренировки для WorldSkills летом 2019 года.

* *

Четвёртый день — форенсика образов оперативки.

Образы: http://big.vos.uz/WStrain_memory.7z.t... пароль: HqARTCn477dsrQJe

0:00 Volatility. Определение профиля
7:28 Процессы (pslist)
9:25 Сетевые подключения (netscan)
12:28 Таймлайн (timeliner)
13:32 Буфер обмена (clipboard)
14:50 Список сервисов (svcscan)
17:15 Карвинг реестра (dumpregistry)
18:14 Карвинг файлов (mftparser, R-Studio, dumpfiles)
26:12 Ковыряем процессы (procdump, memdump, cmdline, ...)
41:04 Карвинг файлов внутри памяти процесса (binwalk)