如何使用Dumpscan扫描和解析内核及内存Dump数据
2022-8-11 18:31:2 Author: FreeBuf(查看原文) 阅读量:29 收藏

 关于Dumpscan 

Dumpscan是一款功能强大的命令行工具,该工具可以帮助广大研究人员从内核以及Windows Minidump格式提取和导出敏感数据。

 功能介绍 

1、支持x509公钥和私钥(PKCS #8/PKCS #1)解析;
2、支持SymCrypt解析;
3、支持提取和解析环境变量;
4、支持通过命令行参数控制工具运行;

 工具组件 

volatility3
construct
yara-python
typer
rich
rich_click

 工具安装 

我们推荐广大研究人员通过pipx来安装Dumpscan:
pipx install dumpscan
pipx inject dumpscan git+https://github.com/volatilityfoundation/volatility3#39e812a

 工具使用 

Usage: dumpscan [OPTIONS] COMMAND [ARGS]...


 Scan memory dumps for secrets and keys


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  │
│  --help         显示帮助信息和退出                                                      │
│                                                                                                  │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  │
│  kernel       使用volatility扫描内核dump                                                    │
│  minidump   扫描用户模式minidump                                                            │
│                                                                                                  │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
针对那些能够提取证书的子命令,我们可以使用“--output/-o <dir>”选项来指定将扫描到的证书提取到指定目录。

内核模式

该工具实现的内核分析功能是通过Volatility3实现的,“cmdline”、“envar”和“pslist”命令都将直接调用Volatility3插件,而“symcrypt”和“x509”都是自定义插件:
Usage: dumpscan kernel [OPTIONS] COMMAND [ARGS]...


 Scan kernel dump using volatility


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮

│  --help         显示帮助信息和退出                                                      

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮

│  cmdline    枚举进程命令行信息 (仅Windows支持)                                   
│  envar      枚举进程环境变量 (仅Windows支持)                                
│  pslist       枚举所有进程和相应的命令行参数                              
│  symcrypt   扫描内核模式dump中的SymCrypt对象                                        
│  x509       扫描内核模式dump中的x509证书                                       

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

Minidump模式

该工具还支持Windows Minidump格式,但该功能只在Windows 10+的64位进程上进行过测试,32位进程可能还需要做其他处理。
Usage: dumpscan minidump [OPTIONS] COMMAND [ARGS]...


 Scan a user-mode minidump


╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮

│  --help   显示帮助信息和退出


╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮

│  cmdline    导出命令行字符串

│  envar      导出环境变量                                        
│  symcrypt   扫描minidump中的symcrypt对象                                                
│  x509      扫描 minidump中的x509对象                                                    

╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

https://github.com/daddycocoaman/dumpscan

参考资料

https://github.com/volatilityfoundation/volatility3

https://github.com/microsoft/SymCrypt

https://github.com/pypa/pipx

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651185981&idx=4&sn=da338d90e9c0d92f068cb9d45a85cce8&chksm=bd1e71b68a69f8a0e9385252a362ca186364ed30a35e52c454e0d15aa3cd800eaa63abfd2cbd#rd
如有侵权请联系:admin#unsafe.sh