[Share] PRACTICAL MEMORY FORENSIC ANALYSIS
#1
Assalamu Alaikum
Met malem mimin, momod, all member Big Grin . Numpang nitip ya, kalau repost atau salah tempat dimaklumi ya, aku masih nubitol

oke langsung saja ke intinya :
Nah Ini file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware. Berikut ini hasil analisa saya. Kalau salah mohon bimbingannya dan jangan lupa mohon dimaklumi juga ya Big Grin
Yang dipertanyakan adalah :
Code:
1.    Identifikasi jenis OS-nya
2.    Identifikasi proses yang mencurigakan
3.    Identifikasi service yang mencurigakan
4.    Identifikasi remote IP yang mentriger proses tersebut
5.    Apakah tipe malware yang menginfeksi komputer tersebut
6.    Apakah dikomputer tersebut terinstall antivirus
7.    Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut
8.    Pertanyaan Bonus :
Hacker tersebut ternyata juga berhasil mencuri informasi yang tersimpan pada suatu file di komputer tersebut. Informasi tersebut adalah akun yang dapat digunakan untuk mengakses suatu server. Dapatkah anda menemukan informasi yang tersimpan pada file tersebut ?
Oke kita mulai analisanya ya

Sebelum kita mulai ada baiknya kita baca basmalah dulu ya Smile

1.
Untuk mengidektifikasi jenis OS-nya, caranya :
Code:
vol.py -f ram.mem imageinfo
Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/root/ram.mem)
                      PAE type : PAE
                           DTB : 0x311000L
                          KDBG : 0x80545ae0L
          Number of Processors : 1
     Image Type (Service Pack) : 3
                KPCR for CPU 0 : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2014-04-10 06:30:00 UTC+0000
     Image local date and time : 2014-04-10 13:30:00 +0700
Spoiler! :
[Image: 10154372_696600637062696_7444251299424212491_n.jpg]

2.
Selanjutnya kita akan mengidentifikasikan proses yang mencurigakan, oke kita kitikkan diterminal
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 psscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P)  Name                PID   PPID PDB        Time created                   Time exited                  
---------- ---------------- ------ ------ ---------- ------------------------------ ------------------------------
0x02142cb0 cmd.exe            1112    408 0x071602c0 2014-04-10 06:29:51 UTC+0000                                
0x0214fda0 wscript.exe         584    408 0x071602a0 2014-04-10 05:58:17 UTC+0000                                
0x02151a58 dart.exe           2040    408 0x071601a0 2014-04-10 06:28:09 UTC+0000                                
0x021521b8 FTK Imager.exe      412   2040 0x07160280 2014-04-10 06:29:10 UTC+0000                                
0x02153020 ejpIppbfiTpg.ex    1872   1916 0x071602e0 2014-04-10 06:29:53 UTC+0000   2014-04-10 06:29:58 UTC+0000  
0x02183da0 calc.exe           1132    408 0x07160320 2014-04-10 06:29:54 UTC+0000                                
0x021c9d08 metsvc.exe         1644    656 0x071601e0 2014-04-10 05:57:42 UTC+0000                                
0x021cc7e0 qNPEwOBAwGzOSN.    1760    584 0x07160240 2014-04-10 06:29:34 UTC+0000                                
0x021e62f0 svchost.exe        1116    656 0x07160140 2014-04-10 05:57:27 UTC+0000                                
0x021f96c0 spoolsv.exe        1408    656 0x07160180 2014-04-10 05:57:27 UTC+0000                                
0x02336c20 svchost.exe         876    656 0x071600e0 2014-04-10 05:57:26 UTC+0000                                
0x02339228 VBoxService.exe     832    656 0x071600c0 2014-04-10 05:57:26 UTC+0000                                
0x0233ca90 svchost.exe        1200    656 0x07160160 2014-04-10 05:57:27 UTC+0000                                
0x0234c988 svchost.exe        1060    656 0x07160120 2014-04-10 05:57:26 UTC+0000                                
0x0236aa78 FreeFTPDService    1624    656 0x071601c0 2014-04-10 05:57:42 UTC+0000                                
0x023732c0 lsass.exe           668    612 0x071600a0 2014-04-10 05:57:26 UTC+0000                                
0x0237f128 smss.exe            376      4 0x07160020 2014-04-10 05:57:25 UTC+0000                                
0x02389b28 services.exe        656    612 0x07160080 2014-04-10 05:57:26 UTC+0000                                
0x0238ab50 svchost.exe         968    656 0x07160100 2014-04-10 05:57:26 UTC+0000                                
0x0239d228 explorer.exe        408    296 0x07160220 2014-04-10 05:58:15 UTC+0000                                
0x023b77b8 cscript.exe        1916   1060 0x07160300 2014-04-10 06:27:46 UTC+0000                                
0x023c6da0 alg.exe            1996    656 0x07160200 2014-04-10 05:59:05 UTC+0000                                
0x024a3d38 winlogon.exe        612    376 0x07160060 2014-04-10 05:57:26 UTC+0000                                
0x024b4288 VBoxTray.exe        548    408 0x07160260 2014-04-10 05:58:17 UTC+0000                                
0x024d0020 csrss.exe           588    376 0x07160040 2014-04-10 05:57:25 UTC+0000                                
0x025c89c8 System                4      0 0x00311000
Spoiler! :
[Image: 1902943_696607943728632_7157924091189529031_n.jpg]
Hemmz, kalau kita lihat gambar diatas pasti kita udah tau apa saja proses-proses yang mencurigakan. Diantaranya ada wscript, metsvc, dll
malware berjalan dari wscript.exe yg merupakan windows service yg berfungsi untuk menjalankan file Vbscript
Backdoor dibuat oleh wscript yang menjalankan file - file malicious lainnya yaitu qNPEwOBAwGzOSN. Wew bahaya .

3.
Selanjutnya kita mengidentifikasi service yang mencurigakan. Saya menggunakan command berikut untuk melihat servicenya dengan outpu service.txt. setelah itu saya cek manual dah apa yang saya dapatkan ? ini dia.
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 svcscan > /root/a/service.txt
Code:
Offset: 0x385630
Order: 100
Process ID: 1644
Service Name: metsvc
Display Name: Meterpreter
Service Type: SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS
Service State: SERVICE_RUNNING
Binary Path: "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service
[hide]
4.
Tahap berikutnya kita akan mengidentifikasi remote IP.
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 connections
Volatility Foundation Volatility Framework 2.3.1
Offset(V)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x821818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x8245ce68 10.1.103.48:1049          10.1.103.47:443           1060

Code:
vol.py -f ram.mem --profile=WinXPSP2x86 connscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x021514b0 10.1.103.48:1071          10.1.103.47:4444          1872
0x021818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x023f4008 10.1.103.48:1069          192.168.88.44:443         1760
0x0245ce68 10.1.103.48:1049          10.1.103.47:443           1060
Spoiler! :
[Image: 1920363_696608270395266_4154168906433568859_n.jpg]

Code:
vol.py -f ram.mem --profile=WinXPSP2x86 iehistory
Volatility Foundation Volatility Framework 2.3.1
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15000
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads/trojan.exe
Last modified: 2014-03-04 03:44:00 UTC+0000
Last accessed: 2014-03-04 03:44:00 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xac
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15100
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads
Last modified: 2014-03-04 03:43:49 UTC+0000
Last accessed: 2014-03-04 03:43:49 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xa0
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15880
Record length: 0x100
Location: Visited: WINVICTIM@about:Home
Last modified: 2014-03-04 03:38:45 UTC+0000
Last accessed: 2014-03-04 03:38:45 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x88
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15e80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2013-11-13 06:51:03 UTC+0000
Last accessed: 2013-11-13 06:51:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17b80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2014-04-10 05:58:25 UTC+0000
Last accessed: 2014-04-10 05:58:25 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17c80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/Desktop/Setup.SED
Last modified: 2014-04-10 05:58:30 UTC+0000
Last accessed: 2014-04-10 05:58:30 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc0
Spoiler! :
[Image: 10152543_696608573728569_3538045856015833790_n.jpg]
Wew apaan tuh kok ada trojan.exe-Nya

5.
Sekarang kita cek jenis malwarenya Big Grin. Sebelum itu kita dump dulu applikasinya terus scan deh . commandnya : (ini ane lagi pakek windows =)) )
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 procexedump –p 1760 –D C:\virus\
Spoiler! :
[Image: 10171147_696609740395119_8479484803947269111_n.jpg]
Coba kita scan dengan AV. Saya menggunakan Eset Smart Security 7. Dan hasilnya :
Spoiler! :
[Image: 10259330_696609933728433_1988093209260573842_n.jpg]
Wah terdeteksi virus :O. kita intip yuk applikasi mana yang terdeteksi sebagai virus. Ternyata filenya adalah executable.1760.exe. kita liat lagi hasil output dump yang telah kita lakukan, ternyata output dari executable.1760.exe hasil output dari tu qNPEwOBAwGzOSN
Jenis malwarenya temen-temen bisa cek sendiri dilink dibawah ini.
Virus 1
Virus 2
Virus 3
Virus 4

6.
Nah selanjutnya untuk mengetahui apakah komputer tersebut terinstall AV apa enggaknya saya coba cek dengan cara
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 shimcache
Volatility Foundation Volatility Framework 2.3.1
Last Modified                  Last Update                    Path
------------------------------ ------------------------------ ----
2008-04-14 02:42:40 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\verclsid.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\SHELL32.dll
2008-04-14 02:42:44 UTC+0000   2013-11-14 08:50:09 UTC+0000   \??\C:\WINDOWS\system32\logon.scr
2013-10-30 08:28:57 UTC+0000   2014-02-05 08:42:49 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe
2013-11-12 07:43:05 UTC+0000   2013-11-12 07:45:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\patch_c_kis2014.exe
1970-01-01 00:00:00 UTC+0000   2014-02-05 08:39:03 UTC+0000   C:\WINDOWS\system32\MSCOREE.DLL
2013-11-12 07:42:33 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avpui.exe
2013-04-12 09:53:44 UTC+0000   2014-02-05 08:37:42 UTC+0000   \??\C:\WINDOWS\system32\VBoxService.exe
2008-04-14 02:41:52 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\System32\cscui.dll
2010-03-18 06:16:28 UTC+0000   2014-02-05 08:37:53 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
2013-04-12 09:53:46 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\VBoxTray.exe
2008-04-14 02:42:04 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\NETSHELL.dll
2013-06-17 05:35:50 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\wmi32.exe
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:13:02 UTC+0000   \??\C:\WINDOWS\system32\wscntfy.exe
2010-03-18 06:16:28 UTC+0000   2013-11-15 01:52:41 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
2013-06-17 05:35:26 UTC+0000   2013-11-14 09:13:39 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\shellex.dll
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\wuaucpl.cpl
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\remotepg.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:52 UTC+0000   \??\C:\WINDOWS\system32\shgina.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\twext.dll
2008-04-14 02:41:52 UTC+0000   2013-11-12 15:38:56 UTC+0000   \??\C:\WINDOWS\system32\dfsshlex.dll
2013-06-17 05:35:20 UTC+0000   2013-11-13 02:06:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\office_antivirus.dll
2013-11-13 01:08:10 UTC+0000   2013-11-13 01:08:12 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\f7915612721b0e8dad57bdfcb29ac9bb-freeFTP
Spoiler! :
[Image: 10177434_696609377061822_1051893181519849378_n.jpg]
Wew ternyata pakai AV Kaspersky Big Grin
7.
Selanjutnya menemukan service atau applikasi "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut. Tadi saya sempet curiga sama service metsvc dengan PID “1644”.
Oke kita gali lebih dalam lagi Big Grin
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 dlllist -p 1644
Volatility Foundation Volatility Framework 2.3.1
************************************************************************
metsvc.exe pid:   1644
Command line : "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service
Service Pack 3

Base             Size  LoadCount Path
---------- ---------- ---------- ----
0x00400000    0x11000     0xffff C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe
0x7c900000    0xaf000     0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000    0xf6000     0xffff C:\WINDOWS\system32\kernel32.dll
0x71ab0000    0x17000     0xffff C:\WINDOWS\system32\WS2_32.dll
0x77dd0000    0x9b000     0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000    0x92000     0xffff C:\WINDOWS\system32\RPCRT4.dll
0x77fe0000    0x11000     0xffff C:\WINDOWS\system32\Secur32.dll
0x77c10000    0x58000     0xffff C:\WINDOWS\system32\msvcrt.dll
0x71aa0000     0x8000     0xffff C:\WINDOWS\system32\WS2HELP.dll
0x71a50000    0x3f000        0x2 C:\WINDOWS\system32\mswsock.dll
0x662b0000    0x58000        0x1 C:\WINDOWS\system32\hnetcfg.dll
0x77f10000    0x49000        0x2 C:\WINDOWS\system32\GDI32.dll
0x7e410000    0x91000        0x2 C:\WINDOWS\system32\USER32.dll
0x71a90000     0x8000        0x1 C:\WINDOWS\System32\wshtcpip.dll

Code:
vol.py -f ram.mem --profile=WinXPSP2x86 sockscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P)       PID   Port  Proto Protocol        Address         Create Time
---------- -------- ------ ------ --------------- --------------- -----------
0x02192780     1872   1071      6 TCP             0.0.0.0         2014-04-10 06:29:53 UTC+0000
0x021992a0     1624     21      6 TCP             0.0.0.0         2014-04-10 05:57:42 UTC+0000
0x0219a780      668      0    255 Reserved        0.0.0.0         2014-04-10 05:57:42 UTC+0000
0x0219ae98      668   4500     17 UDP             0.0.0.0         2014-04-10 05:57:42 UTC+0000
0x0219bce8      668    500     17 UDP             0.0.0.0         2014-04-10 05:57:42 UTC+0000
0x021c81e8     1644  31337      6 TCP             0.0.0.0         2014-04-10 05:57:42 UTC+0000
0x021cc268     1760   1069      6 TCP             0.0.0.0         2014-04-10 06:29:34 UTC+0000
0x0233ce98      968    135      6 TCP             0.0.0.0         2014-04-10 05:57:26 UTC+0000
0x0233f7e0        4    445      6 TCP             0.0.0.0         2014-04-10 05:57:25 UTC+0000
0x0233fc08        4    445     17 UDP             0.0.0.0         2014-04-10 05:57:25 UTC+0000
0x0235ce98        4    138     17 UDP             10.1.103.48     2014-04-10 05:57:30 UTC+0000
0x0235d8e0     1116   1025     17 UDP             0.0.0.0         2014-04-10 05:57:37 UTC+0000
0x0235e7e0        4    139      6 TCP             10.1.103.48     2014-04-10 05:57:30 UTC+0000
0x02361e98        4    137     17 UDP             10.1.103.48     2014-04-10 05:57:30 UTC+0000
0x02365a78     1116   1026     17 UDP             0.0.0.0         2014-04-10 05:57:37 UTC+0000
0x02370e98     1116   1027     17 UDP             0.0.0.0         2014-04-10 05:57:46 UTC+0000
0x023a1e98     1060    123     17 UDP             10.1.103.48     2014-04-10 05:58:05 UTC+0000
0x023ef008     1996   1031      6 TCP             127.0.0.1       2014-04-10 05:59:05 UTC+0000
0x02406240     1200   1900     17 UDP             127.0.0.1       2014-04-10 05:59:05 UTC+0000
0x024092f8     1060   1049      6 TCP             0.0.0.0         2014-04-10 06:26:23 UTC+0000
0x02457e98     1060    123     17 UDP             127.0.0.1       2014-04-10 05:58:05 UTC+0000
0x024d9bb8     1200   1900     17 UDP             10.1.103.48     2014-04-10 05:59:05 UTC+0000
Spoiler! :
[Image: 10178059_696609543728472_8458436884317947320_n.jpg]
Itu kok ada qNPEwOBAwGzOSN ya ? mungkin ini service tercipta karna Malware ini kali qNPEwOBAwGzOSN :v
Coba baca-baca Disini

8.
Nah yang nomor 8 ini saya gak paham cara ngintipnya  ane taunya Cuma yang dicuri oleh si hacker adalah acount.txt yang letaknya berada di My Documents
Oke sikian dulu ya Big Grin kalo banyak salahnya ane mohon maaf, ane nobi yang ingin selalu belajar dan sharing

Untuk latihan bisa download Disini om
Sekali lagi kalau ada yang salah mohon dibimbing ya.
Oh ya untuk pdf-Nya bisa didownload Disini[/hide]

Dan untuk teman-teman yang belum ngerti silahkan baca volatility thread @5forA DISINI agar bisa melanjutkan tutorial ini.

gnome_selpa was here Tongue
Calon manusia sukses tidak akan pernah mengeluh, tapi akan sibuk memperbaiki diri dari semua kesalahan yang pernah dibuatnya
My Facebook
My Twitter

#2
Volatility it great Smile
thanks for share bro, sempet kemarin nulis forensic memori ginian di blog ane http://h2-exploitation.blogspot.com/2014...lysis.html (ijin numpang link ya om mimin) mau post dimari gak sempet2 Sad

+2 bro Smile

#3
Keren Nih Tapi Gue Baca2 Nga terlalu ngerti tentang File Ram.Mem Menurut kk
"file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware"
Nah Itu File yang Susah Ada Trus Ketika Komputer Yang Saya Analisa Dengan Metode Yang Ente Jelaskan itu Big Grin Gmn ane Bisa Mendapatkan File ram.mem Dari Komputer Yang Saya Mau Analisa ?

#4
(04-18-2014, 09:41 PM)alpoah Wrote: Keren Nih Tapi Gue Baca2 Nga terlalu ngerti tentang File Ram.Mem Menurut kk
"file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware"
Nah Itu File yang Susah Ada Trus Ketika Komputer Yang Saya Analisa Dengan Metode Yang Ente Jelaskan itu Big Grin Gmn ane Bisa Mendapatkan File ram.mem Dari Komputer Yang Saya Mau Analisa ?

ini om file nya, saya juga gunain file yg sama untuk uji coba Smile
download
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]

#5
keren,tp cara kerja volatility tau semuanya gimna om? istilah kerennya , how this volatility work?

#6
(04-18-2014, 09:41 PM)alpoah Wrote: Keren Nih Tapi Gue Baca2 Nga terlalu ngerti tentang File Ram.Mem Menurut kk
"file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware"
Nah Itu File yang Susah Ada Trus Ketika Komputer Yang Saya Analisa Dengan Metode Yang Ente Jelaskan itu Big Grin Gmn ane Bisa Mendapatkan File ram.mem Dari Komputer Yang Saya Mau Analisa ?

Kita dump dulu om. kalau windows bisa menggunakan dumpit <== di google ada
kalau linux ada memdump dan lime om

(04-18-2014, 09:38 PM)[H2] Wrote: Volatility it great Smile
thanks for share bro, sempet kemarin nulis forensic memori ginian di blog ane /2014/04/forensic-zbot-trojan-horse-analysis.html (ijin numpang link ya om mimin) mau post dimari gak sempet2 Sad

+2 bro Smile

Thanks om cendolnya Big Grin
oh ya menurut om yang nomor 8 tuh gimana ? mari bahas bersama Big Grin

(04-18-2014, 09:47 PM)xsan-lahci Wrote: keren,tp cara kerja volatility tau semuanya gimna om? istilah kerennya , how this volatility work?
waduh ane juga baru belajar om. volatility tuh membutuhkan file memory imagenya om, kalau gak ada itu ya gak bisa digunakan.
Calon manusia sukses tidak akan pernah mengeluh, tapi akan sibuk memperbaiki diri dari semua kesalahan yang pernah dibuatnya
My Facebook
My Twitter

#7
(04-18-2014, 09:46 PM)[H2] Wrote:
(04-18-2014, 09:41 PM)alpoah Wrote: Keren Nih Tapi Gue Baca2 Nga terlalu ngerti tentang File Ram.Mem Menurut kk
"file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware"
Nah Itu File yang Susah Ada Trus Ketika Komputer Yang Saya Analisa Dengan Metode Yang Ente Jelaskan itu Big Grin Gmn ane Bisa Mendapatkan File ram.mem Dari Komputer Yang Saya Mau Analisa ?

ini om file nya, saya juga gunain file yg sama untuk uji coba Smile
download

Makasi om Big Grin

#8
@faizul amali : kalau yg nomor 8 menurut ane gini, kita cari solusi lain.
command :
Code:
vol -f zeus.vmem malfind --dump-dir ~/Desktop/
nanti ada banyak output yg di hasilkan di directory Desktop, sekarang kita lihat file "qNPEwOBAwGzOSN" pada offset "0x021cc7e0"

kalo bisa sekalian SS yah Big Grin

#9
@[H2]
kayak gini om ? terus diapain ?
[Image: eyIVY5J.png]
Calon manusia sukses tidak akan pernah mengeluh, tapi akan sibuk memperbaiki diri dari semua kesalahan yang pernah dibuatnya
My Facebook
My Twitter

#10
(04-18-2014, 11:27 PM)faizul amali Wrote: @[H2]
kayak gini om ? terus diapain ?

itu yg nongol di cmdnya cuma itu doang? yg lain gak ada.?
itu filenya sama gak kayak yg saya kesih ke mas alpoah, kalau beda boleh dong minta mau cek juga, penasaran nih Big Grin
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]






Users browsing this thread: 3 Guest(s)