Du bør fortsette i to trinn:

Først: Du må ta en titt på MoonSols Windows Memory Toolkit Community Edition. Det vil tillate deg å dumpe minne til filen for videre analyse

For det andre: så trenger du Volatility Toolkit for å analysere dumpfil og trekke ut informasjon, binærfiler, DLLer og mer derfra.

For god prøve : om å bruke Volatility - ta en titt på Andre DiMinos blogginnlegg om Cridex

Jeg er enig med Denis 'svar, men for meg er trinn 0 å starte FlyPaper, fra HBGary.

HBGary Flypaper er et uvurderlig verktøy i kampen din mot skadelig programvare. Mesteparten av skadelig programvare er utformet i to eller tre trinns distribusjon. Først starter et dropperprogram et annet program, og deretter sletter det seg selv. Det andre programmet kan ta flere trinn, for eksempel å injisere DLL-er i andre prosesser, laste et rootkit, etc. Disse trinnene blir tatt raskt, og det kan være vanskelig for en analytiker å fange opp alle binærfilene som brukes i distribusjonen. HBGary Flypaper løser dette problemet for analytikeren.

HBGary Flypaper lastes inn som en enhetsdriver og blokkerer alle forsøk på å avslutte en prosess, avslutte en tråd eller slette minne. Alle komponenter som brukes av skadelig programvare, forblir bosatt i prosesslisten og forblir til stede i det fysiske minnet. Hele kjøringskjeden rapporteres slik at du kan følge hvert trinn. Så når du har dumpet fysisk minne for analyse, har du alle komponentene 'frossen' i minnet - ingenting blir lastet ned. Alt beviset er der for deg.

Som andre har nevnt er det første du bør gjøre å dumpe minnet med MoonSols. Dette vil tillate deg å gjøre minneanalyse ved å bruke Volatility senere. Når det gjelder malware-analyse, synes jeg IDA er mest nyttig. For at det skal være nyttig, trenger du en prosessdump og en måte å gjenoppbygge importtabellen på. Hvis skadelig programvare kan spre seg til andre prosesser, vil jeg lage en dummy-prosess, dumpe den og gjenoppbygge importtabellen. Hvis for eksempel skadelig programvare injiseres i iexplore.exe, åpner du Ollydbg, endrer feilsøkingsalternativene til System Breakpoint, åpner iexplore.exe, og deretter søker du etter minne om RWX (beskrevet her). Sjekk innholdet i minnet, hvis det inneholder minneprogrammet ditt, dump prosessen og bygg deretter importtabellen på nytt. Hvis du trenger å gjenopprette importtabellen manuelt, kan du bruke følgende skript. Hvis prosessen ikke sprer seg, kan du knytte til prosessen via en feilsøkingsprogram.

Ansvarsfraskrivelse: Jeg er forfatter av disse linkene.

MoonSols og Volatility er ett alternativ.

Et annet sett med alternativer er Redline og Memoryze, som begge er fra Mandiant.

En ekstra bonus med Memoryze er at minneinnsamling er inkludert.

Moonsols er et flott alternativ, men jeg har lagt merke til at det ikke lenger er et alternativ å kjøpe det, og det får meg til å lure på om støtten er stoppet.

I min mening er den beste måten å komme i gang med win32dd, win64dd eller mdd. Et annet alternativ som er mer automatisert er DumpIt (opprettet av produsenten av Moonsols). Jeg foretrekker mdd for de fleste oppgaver, men jeg har ikke testet det på 64-biters systemer.

Avhengig av hva du leter etter, pleier jeg å bruke filskjærere som Scalpel for å plukke ut alt som er gjenkjennelig. Volatilitet er også fint, men personlig tror jeg å lære å gjenkjenne filstrukturene i en hex-editor og skjære dem ut, vil føre deg til en bedre forståelse av det dumpede minnet og hva du faktisk ser på.

Den nyeste versjonen av skalpell er tilgjengelig i Backtrack r3, jeg har bare hentet den derfra. Som med de andre har jeg eldre eksemplarer som jeg bruker, og de fungerer helt fint. DumpDet er fortsatt tilgjengelig på MoonSols-nettstedet og fungerer bra i 32 eller 64bit, gi det et skudd: moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream