Я пытаюсь проанализировать дамп памяти Windows 7 с помощью Volatility. Цель состоит в том, чтобы увидеть команды CMD, которые были выполнены до того, как был получен дамп.
Я выполнил следующую команду (вывод ниже): volatility.exe --profile=Win7SP1x64_23418 -f WINDOWS7-20200221-214526.raw cmdscan
Мне нужно выяснить, какие команды были запустить в середине чанка (из ncat.exe).
Существуют ли другие параметры / команды волатильности, которые выводят информацию в виде текста? Есть ли лучший способ найти эту информацию? У меня есть доступ к виртуальной машине Win7 (виртуальная коробка) с моментальным снимком, позволяющим мне возобновить работу машины непосредственно перед тем, как был сделан дамп памяти.
Volatility Foundation Volatility Framework 2.6
**************************************************
CommandProcess: conhost.exe Pid: 2580
CommandHistory: 0x63bf0 Application: cmd.exe Flags: Allocated
CommandCount: 0 LastAdded: -1 LastDisplayed: -1
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0x60
Cmd #15 @ 0x30158:
Cmd #16 @ 0x4ed50:
**************************************************
CommandProcess: conhost.exe Pid: 2580
CommandHistory: 0x63e40 Application: ncat.exe Flags: Allocated
CommandCount: 0 LastAdded: -1 LastDisplayed: -1
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0x58
Cmd #41 @ 0x300f8:
Cmd #42 @ 0x300f8:
Cmd #43 @ 0x30060:
Cmd #44 @ 0x30060:
**************************************************
CommandProcess: conhost.exe Pid: 3136
CommandHistory: 0x24ec00 Application: DumpIt.exe Flags: Allocated
CommandCount: 0 LastAdded: -1 LastDisplayed: -1
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0x60
Cmd #15 @ 0x210158: $
Cmd #16 @ 0x24d570: $