Estadísticas: Publicado por franco — 17 Mar 2024, 16:33
Código:
git clone https://github.com/504ensicsLabs/LiME.gitsudo apt-get install make gcc build-essential -ycd LiMecd srccomandos para ver la version del linuxcat /etc/*releaseuname -r (version del kernel)makeVer el video de vuelt que explica lo del kernelinsmod ./lime-6.6.9-amd64.ko "path=/home/rogerio24/dump.mem format=raw"sudo scp rogerio24@192.168.10.183:/home/rogerio24/dump.mem /home/rogerio24----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------https://github.com/volatilityfoundation/volatilityhttps://github.com/stuxnet999/MemLabsInstalar Volatility en Kali Linuxsudo apt-get update && sudo apt-get install volatilitysudo snap install volatility-phoceanhttps://github.com/volatilityfoundation/volatility.gitp7zip -d MemLabs-Lab1.7zVemos el tamaño de la imagendu -sh *ver como podemos armar el comandvol.py --helpVer detalles de los pluggins y de que profile tenemos que usar cuando analizamos una memoriavol.py --infoDe esta forma o con este comando vamos a ver que profile tenemos que asignarvol.py -f MemoryDump_Lab1.raw imageinfovol.py -f dump.mem imageinfoComando para ver mas detalles de este dump de memoria de donde vienevol.py --info | grep kdbgscanvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 kdbgscanlistar los procesos que se ejecutaron cuando se ejecuto este snap o dump de memoriavol.py --info | grep pslistvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslistIdentificar procesos ocultos y vemos el pid ppid los threads de esos ppid and pidvol.py --info | grep pstreevol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pstreeVer detalles del proceso, ver basicamente de donde vienevol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512Ejecutamos este comandos para ver que plugin me permite ver que comandos ejecuto este uservol.py --info | grep consolesvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1984vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consolesecho "ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=" | base64 -dhttps://www.base64decode.org/es/Analizamos de vuelta el proceso rar para ver el contenido que tiene el archivo rarvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512Analizamos el pluginvol.py --info | grep filescanvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan | grep -i "Important.rar"Recuperamos el archivo cargado en memoriavol.py --info | grep dumpfilesvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D /home/rogerio24/Downloads file file.datvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D . file file.datlsdu -sh *Renombrarmosmv file.None.0xfffffa8001034450.dat Important.rardescomprimimosunrar x Important.rarvol.py --info | grep hashdumpvol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump
Estadísticas: Publicado por admin — 11 Mar 2024, 23:40
Estadísticas: Publicado por HombreDeRadio — 03 Mar 2024, 14:23
Código:
-------------------------------------------------------------------------------------------1 - lsusbVer basicamente que tenemos conectado al pc via puerto usbver si nuestra pc detecto lo que conectamos2 - watch -d lsusbmuy parecido al anterior con la diferencia que vemos en vivo y en directolo que se conecta y vemos como ese listado se actualiza3 - lsusb -t lo mismo que el lsusb pero en una version tree viewo de forma jerarquica----------------------------------------------------------------------------------------4 - lspci vemos lo que tenemos conectados al bus pci5 - lshw data del hardware pero muy muy detallada6 - lshw -html > hardwareinfo.htmllo mismo que lo anterior pero en un formato html el cual lo hace mas visualmenteamigable a la hora de analizarlo y entenderlo o para hacer un troubleshooting7 - lshw -shortpara mi es la merjor de lshw, por que se ve en detalle todo----------------------------------------------------------------------------------------------8 -lscpu para ver detalles de la CPUcat /proc/cpuinfoDATOS DE LOS DISCOSlsblkfdisk -lhdparm -I /dev/sdawatch lsblk (vemos cuando algo se conecta y se desconecta)
Estadísticas: Publicado por admin — 28 Feb 2024, 02:22
Estadísticas: Publicado por MiguelLorenzo — 22 Feb 2024, 12:48