寻找内核和用户内存中的密钥 | dumpscan
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/daddycocoaman/dumpscan
Dumpscan 是一种命令行工具,旨在从内核和 Windows Minidump 格式中提取和转储密钥。 内核转储解析由 volatility3 提供。
特征
- x509 公钥和私钥 (PKCS #8/PKCS #1) 解析
- 密码 解析
- 支撑结构
- SYMCRYPT_RSAKEY - 确定密钥结构是否也有私钥
- 匹配在同一进程中找到的公共证书
- 更多的 SymCrypt 结构即将到来
- 支撑结构
- 环境变量
- 命令行参数
注意 :仅在 Windows 10 和 11 64 位主机和进程上进行了测试。 随时为其他版本提交问题。 Linux 测试待定。
安装
作为命令行工具,推荐使用 pipx 安装。 这允许轻松更新并确保它安装在自己的虚拟环境中。
pipx install dumpscan
pipx inject dumpscan git+https://github.com/volatilityfoundation/volatility3#39e812a用法
Usage: dumpscan [OPTIONS] COMMAND [ARGS]...
Scan memory dumps for secrets and keys
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ --help Show this message and exit. │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ kernel Scan kernel dump using volatility │
│ minidump Scan a user-mode minidump │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯对于提取证书的子命令,您可以 --output/-o <dir> 将任何发现的证书输出到磁盘。
内核模式
如前所述,内核分析由 Volatility3 执行。 cmdline 、 envar 和 pslist 是对 Volatility3 插件的直接调用,而 symcrypt 和 x509 是自定义插件。
Usage: dumpscan kernel [OPTIONS] COMMAND [ARGS]...
Scan kernel dump using volatility
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ --help Show this message and exit. │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ cmdline List command line for processes (Only for Windows) │
│ envar List process environment variables (Only for Windows) │
│ pslist List all the processes and their command line arguments │
│ symcrypt Scan a kernel-mode dump for symcrypt objects │
│ x509 Scan a kernel-mode dump for x509 certificates │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯小型转储模式
支持 Windows Minidump 格式。
注意 :这仅在 Windows 10+ 的 64 位进程上进行过测试。 32 位进程需要额外的工作,但不是优先事项。
Usage: dumpscan minidump [OPTIONS] COMMAND [ARGS]...
Scan a user-mode minidump
╭─ Options ────────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ --help Show this message and exit. │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯
╭─ Commands ───────────────────────────────────────────────────────────────────────────────────────╮
│ │
│ cmdline Dump the command line string │
│ envar Dump the environment variables in a minidump │
│ symcrypt Scan a minidump for symcrypt objects │
│ x509 Scan a minidump for x509 objects │
│ │
╰──────────────────────────────────────────────────────────────────────────────────────────────────╯基于
标签:工具分享, 主机安全