PRACTICAL MEMORY FORENSIC ANALYSIS

**faizul amali** · 04-18-2014, 11:45 PM

(04-18-2014, 11:35 PM)[H2] Wrote:
(04-18-2014, 11:27 PM)faizul amali Wrote: @[H2]
kayak gini om ? terus diapain ?

itu yg nongol di cmdnya cuma itu doang? yg lain gak ada.?
itu filenya sama gak kayak yg saya kesih ke mas alpoah, kalau beda boleh dong minta mau cek juga, penasaran nih

banyak keatas masih om
wah kagak tau juga saya om. belum saya download tuh.
sebenernya udah saya sertakan link downloadnya diatas (:|
ni om https://docs.google.com/file/d/0B-XCTYRX...RoS0k/edit

iKONspirasi · 04-19-2014, 12:45 PM

ada disini bro, https://code.google.com/p/volatility/wik...eference23 yang dumpfiles
contohnya:
untuk dump file yg ada di VAD (Virtual Address Descriptor) atau kernel data structure Windows.

Code:
python vol.py -f ram.mem dumpfiles -D folder/simpan/ -r evt$ -i -S summary.txt

cuma klo .txt kyknya ga ada di VAD, tapi coba dulu aja.
nanti output filenya kayak gini file.[PID].[OFFSET].[EXT]
PID = nomor PID
OFFSET = nomor offset di memory
EXT = ekstensi filenya

Klo ga ada di VAD bisa dicoba cara ini:

Code:
python vol.py -f ram.mem dumpfiles -D folder/simpan/ -Q 0xxxxxx

-Q adalah nomor offset filenya di memory
klo dilihat dari yg bro tulis diatas sih file account.txt ada di offset 0x1f15e80 sama 0x1f17b80

Semoga berhasil,
iKONs

**faizul amali** · 04-20-2014, 10:16 AM

(04-19-2014, 12:45 PM)iKONspirasi Wrote: ada disini bro, https://code.google.com/p/volatility/wik...eference23 yang dumpfiles
contohnya:
untuk dump file yg ada di VAD (Virtual Address Descriptor) atau kernel data structure Windows.

Code:
python vol.py -f ram.mem dumpfiles -D folder/simpan/ -r evt$ -i -S summary.txt
cuma klo .txt kyknya ga ada di VAD, tapi coba dulu aja.
nanti output filenya kayak gini file.[PID].[OFFSET].[EXT]
PID = nomor PID
OFFSET = nomor offset di memory
EXT = ekstensi filenya

Klo ga ada di VAD bisa dicoba cara ini:

Code:
python vol.py -f ram.mem dumpfiles -D folder/simpan/ -Q 0xxxxxx
-Q adalah nomor offset filenya di memory
klo dilihat dari yg bro tulis diatas sih file account.txt ada di offset 0x1f15e80 sama 0x1f17b80

Semoga berhasil,
iKONs

Thanks om masukannya, tapi setelah saya coba tetep gak berhasil Sad

(

iKONspirasi · 04-20-2014, 06:04 PM

gagalnya gmn om?

**gnome_selpa** · 04-22-2014, 11:55 AM

Tentang volatility udah ada juga disini yang dibuat oleh @5forA http://indonesianbacktrack.or.id/forum/thread-4079.html

**faizul amali** · 04-22-2014, 02:07 PM

(04-22-2014, 11:55 AM)gnome_selpa Wrote: Tentang volatility udah ada juga disini yang dibuat oleh @5forA /forum/thread-4079.html

Waduh repost ternyata, dihapus aja kaka Sad

(

**gnome_selpa** · 04-22-2014, 05:03 PM

(04-22-2014, 02:07 PM)faizul amali Wrote:
(04-22-2014, 11:55 AM)gnome_selpa Wrote: Tentang volatility udah ada juga disini yang dibuat oleh @5forA /forum/thread-4079.html

Waduh repost ternyata, dihapus aja kaka (

Iya sih repost @faizul amali . tapi udah gw tambahin punya lu ama @5forA jadi punye lu saling berkesinambungan penjelasannya..

zee eichel · 04-26-2014, 02:29 AM

very2 nice tutorial .. +2

**alle zaen**$ · 04-27-2014, 09:34 PM

wah..!
ajari aku donk om,,!
masih pengguna baru ne,
besok tak tunggu di TKP yah..!
oke..!

**faizul amali** · 05-02-2014, 06:19 PM

(04-27-2014, 09:34 PM)alle zaen Wrote: wah..!
ajari aku donk om,,!
masih pengguna baru ne,
besok tak tunggu di TKP yah..!
oke..!

Oke kang, lama udah gak ngumpul-ngumpul Big Grin

(04-27-2014, 09:56 PM)andreakepo Wrote: ijin nyimak ya broTS
walau nda ngerti

Jangan cuma diplototin bro, dipraktekin juga biar sama-sama bisa dan saling share Big Grin