如何使用Dumpscan掃描和解析內核及內存Dump數據
VSole2022-08-11 17:09:52
關于Dumpscan
Dumpscan是一款功能強大的命令行工具,該工具可以幫助廣大研究人員從內核以及Windows Minidump格式提取和導出敏感數據。
功能介紹
1、支持x509公鑰和私鑰(PKCS #8/PKCS #1)解析;
2、支持SymCrypt解析;
3、支持提取和解析環境變量;
4、支持通過命令行參數控制工具運行;
工具組件
volatility3
construct
yara-python
typer
rich
rich_click
工具安裝
我們推薦廣大研究人員通過pipx來安裝Dumpscan:
pipx install dumpscan pipx inject dumpscan git+https://github.com/volatilityfoundation/volatility3#39e812a
工具使用
Usage: dumpscan [OPTIONS] COMMAND [ARGS]... Scan memory dumps for secrets and keys ╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮ │ │ │ --help 顯示幫助信息和退出 │ │ │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯ ╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮ │ │ │ kernel 使用volatility掃描內核dump │ │ minidump 掃描用戶模式minidump │ │ │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
針對那些能夠提取證書的子命令,我們可以使用“--output/-o <dir>”選項來指定將掃描到的證書提取到指定目錄。
內核模式
該工具實現的內核分析功能是通過Volatility3實現的,“cmdline”、“envar”和“pslist”命令都將直接調用Volatility3插件,而“symcrypt”和“x509”都是自定義插件:
Usage: dumpscan kernel [OPTIONS] COMMAND [ARGS]... Scan kernel dump using volatility ╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮ │ │ --help 顯示幫助信息和退出 │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯ ╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮ │ │ cmdline 枚舉進程命令行信息 (僅Windows支持) │ envar 枚舉進程環境變量 (僅Windows支持) │ pslist 枚舉所有進程和相應的命令行參數 │ symcrypt 掃描內核模式dump中的SymCrypt對象 │ x509 掃描內核模式dump中的x509證書 │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
Minidump模式
該工具還支持Windows Minidump格式,但該功能只在Windows 10+的64位進程上進行過測試,32位進程可能還需要做其他處理。
Usage: dumpscan minidump [OPTIONS] COMMAND [ARGS]... Scan a user-mode minidump ╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮ │ │ --help 顯示幫助信息和退出 │ │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯ ╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮ │ │ cmdline 導出命令行字符串 │ │ envar 導出環境變量 │ symcrypt 掃描minidump中的symcrypt對象 │ x509 掃描 minidump中的x509對象 │ ╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
VSole
網絡安全專家