如何使用Dumpscan扫描和解析内核及内存Dump数据
2022-8-11 18:31:2 Author: FreeBuf(查看原文) 阅读量:29 收藏

 关于Dumpscan 

Dumpscan是一款功能强大的命令行工具,该工具可以帮助广大研究人员从内核以及Windows Minidump格式提取和导出敏感数据。

 功能介绍 

1、支持x509公钥和私钥(PKCS #8/PKCS #1)解析;
2、支持SymCrypt解析;
3、支持提取和解析环境变量;
4、支持通过命令行参数控制工具运行;

 工具组件 

volatility3
construct
yara-python
typer
rich
rich_click

 工具安装 

我们推荐广大研究人员通过pipx来安装Dumpscan:
pipx install dumpscan
pipx inject dumpscan git+https://github.com/volatilityfoundation/volatility3#39e812a

 工具使用 

Usage: dumpscan [OPTIONS] COMMAND [ARGS]...


Scan memory dumps for secrets and keys


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ --help 显示帮助信息和退出 │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ kernel 使用volatility扫描内核dump │
│ minidump 扫描用户模式minidump │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
针对那些能够提取证书的子命令,我们可以使用“--output/-o <dir>”选项来指定将扫描到的证书提取到指定目录。

内核模式

该工具实现的内核分析功能是通过Volatility3实现的,“cmdline”、“envar”和“pslist”命令都将直接调用Volatility3插件,而“symcrypt”和“x509”都是自定义插件:
Usage: dumpscan kernel [OPTIONS] COMMAND [ARGS]...


Scan kernel dump using volatility


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮

│ --help 显示帮助信息和退出

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮

│ cmdline 枚举进程命令行信息 (仅Windows支持)
│ envar 枚举进程环境变量 (仅Windows支持)
│ pslist 枚举所有进程和相应的命令行参数
│ symcrypt 扫描内核模式dump中的SymCrypt对象
│ x509 扫描内核模式dump中的x509证书

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

Minidump模式

该工具还支持Windows Minidump格式,但该功能只在Windows 10+的64位进程上进行过测试,32位进程可能还需要做其他处理。
Usage: dumpscan minidump [OPTIONS] COMMAND [ARGS]...


Scan a user-mode minidump


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮

│ --help 显示帮助信息和退出


╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮

│ cmdline 导出命令行字符串

│ envar 导出环境变量
│ symcrypt 扫描minidump中的symcrypt对象
│ x509 扫描 minidump中的x509对象

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

https://github.com/daddycocoaman/dumpscan

参考资料

https://github.com/volatilityfoundation/volatility3

https://github.com/microsoft/SymCrypt

https://github.com/pypa/pipx

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651185981&idx=4&sn=da338d90e9c0d92f068cb9d45a85cce8&chksm=bd1e71b68a69f8a0e9385252a362ca186364ed30a35e52c454e0d15aa3cd800eaa63abfd2cbd#rd
如有侵权请联系:admin#unsafe.sh