概述

开发用于根据分类类型处理 Windows 内存映像的 python 脚本。

项目地址

https://github.com/CrowdStrike/SuperMem

要求

• Python3
• 批量提取器
• 带有社区插件的 Volatility2
• Volatility3
• Plaso
• Yara

如何使用

快速分类

python3 winSuperMem.py -f memdump.mem -o output/ -tt 1

全面分类

python3 winSuperMem.py -f memdump.mem -o output/ -tt 2

综合分类

python3 winSuperMem.py -f memdump.mem -o output/ -tt 3

安装

1. 安装 Python 3
2. 安装 Python 2
3. pip3 install -r requirements.txt
4. 安装 Volatility 3 框架
5. 安装 Volatility 2 框架
6. 下载 Volatility 2 社区插件
7. 安装批量提取器
8. 安装 Plaso
9. 安装Yara
10. 安装String
11. 安装 EVTxtract

如何读取输出

• 综合分类输出目录结构：
  • BEoutputdir - 批量提取器输出
  • DumpedDllsOutput - 加载到进程中的转储 DLL
  • DumpedFilesOutput - 内存中的转储文件
  • DumpedModules - 转储加载的驱动程序
  • DumpedProcessOutput - 转储正在运行的进程
  • DumpedRegistry - 转储加载的注册表配置单元
  • EVTxtract - 使用 EVTxtract 提取的数据
  • IOCs.csv - 在输出数据集中识别的收集 IP
  • Logging.log - 记录脚本
  • Plaso - Plaso 主时间线
  • 字符串 - Unicode、Ascii、Big Endian 字符串输出
  • Volatility2 - Volatility2 插件输出
  • Volatility3 - Volatility3 插件输出
  • 雅拉 - 雅拉比赛

故障排除

本节概述了许多已知的错误。

• 转储文件可能不适用于 Windows8 以下的 Windows 映像。 由volatility3 filescan 插件提供的偏移量有时是物理的而不是虚拟的。 也没有指定返回哪个描述符。 当前脚本仅需要虚拟脚本。 您可以通过将 dumpfiles 函数从 更改为 来解决此 --virtaddr 问题 --physaddr 。

标签：工具分享