Como muchos os habréis supuesto o habéis tenido la oportunidad de trastear con esto, un volcado de la Memoria RAM nos puede dar sorpresas bastante buenas. Claro el problema radica en que tener acceso fisco al ordenador de la victima es difícil pero gracias a Meterpreter, el Superfamoso Payload para Metasploit y al script process_memdump.
Opciones de process_memdump:
- -h --> Ayuda. (todo un clasico xD)
- -n <opt> --> nombre del processo que quieres "dumperar" o volcar.
- -p <opt> --> PID (Process Identificator) del proceso que queremos volcar.
- -q --> Búsqueda del tamaño del proceso que queremos volcar. En bytes.
- - r <opt> --> Automatizar el volcado con un archivo de texto con la lista de nombres de los procesos para volcar, uno por línea.
- -t --> Añadir la localización en la información del volcado.
La verdad es que me ha sorprendido gratamente encontrarme con este Script ya que, si tienes que hacer un forense de forma remota esto nos puede facilitar muchísimo la vida.
Espero que os haya gustado y Sed Buenos ;)
No hay comentarios:
Publicar un comentario