DAMM - Инструмент для анализа памяти (с открытым исходным кодом)

  • Автор темы Cherep
  • Дата начала
  • Участники 3
Cherep

Cherep

Newbie
10.06.2020
8
0
1
1601629480804.png
DAMM (Дифференциальный анализ вредоносных программ в памяти) - это инструмент анализа памяти с открытым исходным кодом, созданный на основе Volatility.

Он задуман как полигон для того, чтобы сделать доступными для сообщества новые интересные методы. Эти методы представляют собой попытку ускорить процесс расследования за счет обработки данных и кодификации некоторых экспертных знаний.

Особенности:
~ 30 плагинов Volatility объединены в ~ 20 плагинов DAMM (например, pslist, psxview и другие элементы объединены в плагин процессов)
Может запускать несколько плагинов за один вызов
Возможность сохранять результаты плагина в базах данных SQLite для сохранения или для «кэшированного» анализа.
Система фильтрации / типов, которая позволяет легко фильтровать атрибуты, такие как pid, чтобы видеть всю информацию, относящуюся к некоторому процессу, а также точное или частичное соответствие для строк и т. Д.
Возможность отображать различия между двумя базами данных результатов для одинаковых или похожих машин и манипулировать из командной строки, как работает различие
Возможность предупреждать об определенных типах подозрительного поведения
Вывод для терминала, tsv или grepable

Использование:
Код: 
usage: damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG]

               [--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]

               [--grepable] [--filter FILTER] [--filtertype FILTERTYPE]

               [--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]





optional arguments:

  -h, --help            show this help message and exit

  -d DIR                Path to additional plugin directory

  -p PLUGIN [PLUGIN ...]

                        Plugin(s) to run. For a list of options use --info

  -f FILE               Memory image file to run plugin on

  -k KDBG               KDBG address for the images (in hex)

  --db DB               SQLite db file, for efficient input/output

  --profile PROFILE     Volatility profile for the images (e.g. WinXPSP2x86)

  --debug               Print debugging statements

  --info                Print available volatility profiles, plugins

  --tsv                 Print screen formatted output.

  --grepable            Print in grepable text format

  --filter FILTER       Filter results on name:value pair, e.g., pid:42

  --filtertype FILTERTYPE

                        Filter match type; either "exact" or "partial",

                        defaults to partial

  --diff BASELINE       Diff the imageFile|db with this db file as a baseline

  -u FIELD [FIELD ...]  Use the specified fields to determine uniqueness of

                        memobjs when diffing

  --warnings            Look for suspicious objects.

  -q                    Query the supplied db (via --db).
 
Для ответа нужно войти/зарегистрироваться

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Главная Форум

Пользовательское меню

login
Верх Низ