Autor
|
Tema: memoria forense ejercicio no funciona comando (Leído 5,265 veces)
|
schoolcyberuser
Desconectado
Mensajes: 5
|
Buenas tardes. Estoy haciendo este ejercicio de forense memoria enseño enunciado en fuente negra y y hasta donde llega mi prueba fallida en rojo: (llego hast aese comando)
Los participantes deberán analizar la memoria RAM. Para ello, se propone la herramienta Volatility. Primero se determina qué perfil se debe utilizar para examinar el volcado de memoria con mejor criterio. Versión 2.6 # volatility –f “/path/to/file” imageinfo Versión 3.0 # vol –f “/path/to/file” windows.info La imagen anterior nos muestra que el sistema operativo del cual se hizo el dump de memoria es Windows 7. Este dato será utilizado en los siguientes comandos. El siguiente paso será listar los procesos abiertos. Versión 2.6 # volatility --f “/path/to/file” --profile=Win7SP1x64 pslist Versión 3.0 # vol –f “/path/to/file” windows.pslist . Página 6 de 8El fichero objetivo fue abierto con Acrobat Reader, por lo que se tendrá que realizar un volcado de dicho proceso. Versión 2.6 # volatility --f “/path/to/file” --profile=Win7SP1x64 memdump –p 1700 –D “/path/to/dir”
me sale esto ──(usuario㉿kali)-[~/Downloads/memoriaforenseok/02-Descargables] └─$ volatility -f dump.mem --profile=Win7SP1x64 memdump –p 1700 –d /home/usuario/Desktop Volatility Foundation Volatility Framework 2.6 ERROR : volatility.debug : Please specify a dump directory (--dump-dir) ¿Por qué pide directorio cuando ya le indico uno que existe?
Versión 3.0 # vol --f “/path/to/file” –o “/path/to/dir” windows.memmap –dump –pid <PID> Una vez se haya terminado de generar el fichero, extraeremos la información mediante el programa Foremost. Se generará un fichero “output” que contiene los ficheros recuperados. Nota: Puede ser que necesites acceder a la carpeta generada desde superoot # sudo su . Página 7 de 8En la carpeta: “output/pdf” se encuentran el fichero que contiene la flag.
|
|
|
En línea
|
|
|
|
EdePC
|
El error es claro, estás usando -d que sirve para activar el modo depuración, lo que debes usar es -D o --dump-dir, no deberías de tener esos problemas, recuerda siempre entender lo que estás haciendo, si tienes dudas pregunta o busca información para tener bien claro que andas haciendo
|
|
|
En línea
|
|
|
|
schoolcyberuser
Desconectado
Mensajes: 5
|
Gracias por el anterior apunte para solucionar. El caso es que me paso algo raro que al escribir comando con -D no ejecutaba, por eso intenté de todo (con -d, etc). De repente el -D cambió de color en una prueba a azul y ahí funcionó.
Ahora me encuetro con otro problema estoy intentando volcar lo indicado en la zona 1700 pero cuando ejecuto no solo busca ahí sino en el resto de procesos también con lo cual se llena la memoria de disco con el volcado y no consigo volcar el contenido del 1700 que es lo referente a Acrobat reader
Este es el enunciado He mirado el comando memdump -p y en principio debería de centrarse solo en esa referencia, no lo hace
Este es el enunciado: El fichero objetivo fue abierto con Acrobat Reader, por lo que se tendrá que realizar un volcado de dicho proceso. Versión 2.6 # volatility --f “/path/to/file” --profile=Win7SP1x64 memdump –p 1700 –D “/path/to/dir” Versión 3.0 # vol --f “/path/to/file” –o “/path/to/dir” windows.memmap –dump –pid <PID> Una vez se haya terminado de generar el fichero, extraeremos la información mediante el programa Foremost.
Está es mi ejecución: (usuario㉿kali)-[~/Downloads/memoriaforenseok/02-Descargables] └─$ volatility -f dump.mem --profile=Win7SP1x64 memdump –p 1700 -D /home/usuario/Desktop Volatility Foundation Volatility Framework 2.6 ************************************************************************ Writing System [ 4] to 4.dmp ************************************************************************ Writing smss.exe [ 260] to 260.dmp ************************************************************************ Writing csrss.exe [ 344] to 344.dmp ...//muchas líneas . ... ...
Writing chrome.exe [ 2872] to 2872.dmp Traceback (most recent call last): File "vol.py", line 192, in <module> File "vol.py", line 183, in main File "volatility/commands.py", line 147, in execute File "volatility/plugins/taskmods.py", line 378, in render_text IOError: [Errno 28] No space left on device Failed to execute script vol
¿Alguna idea? He ampliado capacidad de disco, pero no es suficiente ...
en principio debería ir directamente a por el 1700 y volcarlo,
|
|
|
En línea
|
|
|
|
EdePC
|
Estás escribiendo los comandos o los estás copiando y pegando? porque ese –p 1700 no es lo mismo que un -p 1700, doy por echo de que pasó lo mismo con con el -D, si copias y pegas de un Word o PDF pueden tener su propio formato o caracteres similares pero no iguales, como esos guiones, las comillas, etc
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« 1 2 »
Hacking
|
The_Mushrr00m
|
11
|
13,456
|
8 Febrero 2013, 02:35 am
por ddmmvv12
|
|
|
Comando START no funciona
Seguridad
|
[Arg] $triker;
|
0
|
2,255
|
20 Febrero 2016, 01:33 am
por [Arg] $triker;
|
|
|
Comando run no funciona en w10
Programación C/C++
|
ANTON52
|
1
|
1,649
|
10 Mayo 2018, 16:16 pm
por fary
|
|
|
Comando run no funciona en w10
Windows
|
ANTON52
|
0
|
1,622
|
25 Mayo 2018, 08:49 am
por ANTON52
|
|
|
como puedo crear una imagen de la memoria ram para análisis forense?
Seguridad
|
colcrt
|
4
|
9,071
|
10 Enero 2022, 23:18 pm
por el-brujo
|
|