网安 - 专业的网络安全产业、社区、知识平台

如何使用Dumpscan扫描和解析内核及内存Dump数据

VSole2022-08-11 17:09:52

 关于Dumpscan 

Dumpscan是一款功能强大的命令行工具,该工具可以帮助广大研究人员从内核以及Windows Minidump格式提取和导出敏感数据。

 功能介绍 

1、支持x509公钥和私钥(PKCS #8/PKCS #1)解析;
2、支持SymCrypt解析;
3、支持提取和解析环境变量;
4、支持通过命令行参数控制工具运行;

 工具组件 

volatility3
construct
yara-python
typer
rich
rich_click

 工具安装 

我们推荐广大研究人员通过pipx来安装Dumpscan:

pipx install dumpscan
pipx inject dumpscan git+https://github.com/volatilityfoundation/volatility3#39e812a

 工具使用 

Usage: dumpscan [OPTIONS] COMMAND [ARGS]...
 Scan memory dumps for secrets and keys
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  │
│  --help         显示帮助信息和退出                                                      │
│                                                                                                  │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  │
│  kernel       使用volatility扫描内核dump                                                    │
│  minidump   扫描用户模式minidump                                                            │
│                                                                                                  │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

针对那些能够提取证书的子命令,我们可以使用“--output/-o <dir>”选项来指定将扫描到的证书提取到指定目录。

内核模式

该工具实现的内核分析功能是通过Volatility3实现的,“cmdline”、“envar”和“pslist”命令都将直接调用Volatility3插件,而“symcrypt”和“x509”都是自定义插件:

Usage: dumpscan kernel [OPTIONS] COMMAND [ARGS]...
 Scan kernel dump using volatility
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  
│  --help         显示帮助信息和退出                                                      
│                                                                                                  
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  
│  cmdline    枚举进程命令行信息 (仅Windows支持)                                   
│  envar      枚举进程环境变量 (仅Windows支持)                                
│  pslist       枚举所有进程和相应的命令行参数                              
│  symcrypt   扫描内核模式dump中的SymCrypt对象                                        
│  x509       扫描内核模式dump中的x509证书                                       
│                                                                                                  
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯

Minidump模式

该工具还支持Windows Minidump格式,但该功能只在Windows 10+的64位进程上进行过测试,32位进程可能还需要做其他处理。

Usage: dumpscan minidump [OPTIONS] COMMAND [ARGS]...
 Scan a user-mode minidump
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                
│  --help   显示帮助信息和退出
│
│                                                                                              
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                  
│  cmdline    导出命令行字符串
│
│  envar      导出环境变量                                        
│  symcrypt   扫描minidump中的symcrypt对象                                                
│  x509      扫描 minidump中的x509对象                                                    
│                                                                                               
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
本作品采用《CC 协议》,转载必须注明作者和本文链接
如何使用Dumpscan扫描解析内核内存Dump数据
2022-08-11 17:09:52
Dumpscan是一款功能强大的命令行工具,该工具可以帮助广大研究人员从内核以及Windows Minidump格式提取导出敏感数据。
如何使用EDRSilencer通过为特定进程添加WFP筛选器阻止EDR出站流量
2024-02-02 10:00:05
EDRSilencer是一款专为红队研究人员设计的安全监测绕过工具,该工具基于Windows筛选平台(WFP)实现其功能,可以有效地为特定进程添加WFP筛选器阻止EDR出站流量。
如何使用Padre对CBC模式加密执行Padding Oracle测试
2024-01-06 17:26:15
Padre是一款功能强大的高级Padding Oracle安全测试工具,在该工具的帮助下,广大研究人员可以轻松针对CBC模式加密执行Padding Oracle攻击测试,以审查测试目标加密模式的安全性。
如何使用WebSecProbe对Web应用程序执行复杂的网络安全评估
2024-01-06 11:25:59
WebSecProbe是一款功能强大的Web应用程序网络安全评估工具,该工具专为网络安全爱好者、渗透测试人员系统管理员设计,可以执行精确而深入的复杂网络安全评估。
如何使用PatchaPalooza对微软每月的安全更新进行全面深入的分析
2023-12-25 18:00:05
PatchaPalooza是一款针对微软每月安全更新的强大分析工具,广大研究人员可以直接使用该工具来对微软每月定期推送的安全更新代码进行详细、全面且深入的安全分析。 PatchaPalooza使用了微软MSRC CVRF API的强大功能来获取、存储分析安全更新数据。它专为网络安全专业人员设计,可以帮助广大研究人员快速而详细地了解漏洞信息漏洞利用状态等信息。获取到目标数据之后,该工具将进入离
如何使用GATOR测试Google Cloud云环境实例的安全性
2023-12-23 10:04:10
GATOR是一款针对Google Cloud云平台环境的安全测试工具,该工具专为红队研究人员设计,可以帮助广大研究人员快速测试Google Cloud云平台环境的安全性。该工具提供了一系列功能全面的安全检测模块,可以在渗透测试任务的各个阶段给广大研究人员提供技术支持,其中将覆盖网络侦查到漏洞利用的各个环节。
如何使用Qu1ckdr0p2快速通过HTTP或HTTPS实现文件托管
2023-12-19 17:35:59
Qu1ckdr0p2是一款功能强大的文件托管工具,在该工具的帮助下,广大研究人员可以快速通过HTTP或HTTPS托管包括Payload后渗透代码在内的任何文件。
如何使用HBSQLI自动测试基于Header的SQL盲注
2023-12-14 17:37:23
HBSQLI是一款功能强大的自动化SQL注入漏洞测试工具,该工具可以帮助广大研究人员以自动化的形式测试基于Header的SQL盲注漏洞。
如何使用ChromeCookieStealer通过开发者工具收集注入Chrome Cookie
2023-12-08 18:25:34
如何使用ChromeCookieStealer通过开发者工具收集注入Chrome Cookie
如何使用TinyTracer跟踪API调用
2023-12-04 17:14:43
TinyTracer是一款功能强大的API调用跟踪工具,在该工具的帮助下,广大研究人员能够轻松实现API的调用跟踪。
VSole
网络安全专家