quinta-feira, 8 de abril de 2010

Win32dd agora é MoonSols

Já conversamos aqui no blog sobre alguns avanços em memory forensics, e como as pesquisas de Matthieu Suiche promoveram esse avanço. Dentre os produtos criados está um dos melhores utilitários para dump de memória que existem, o Win32dd.

Matthieu preparou algumas novidades. Através da marca MoonSols, um grupo de ferramentas voltadas para Windows Memory Forensics foi montado em duas versões: O Windows Memory Toolkit Community Version e a Professional Version. A boa notícia é que a Community Version é de graça. A Professional vai custar 500 Euros.

O Windows Memory Toolkit compreende um grupo de ferramentas de peso:
- Win32dd e Win34dd: São os utilitários que outrora já eram disponibilizados pelo Matthieu Suiche, e fazem dump de memória em alguns formatos além do raw;
- hibr2dmp e hibr2bin: Utilitários de conversão entre formatos de hibernação e raw ou o formato utilizável pelo Windbg (arquivos de dump de memória por crash);
- dmp2bin: Utilitário de conversão entre formatos (de crash dump para raw);

A versão professional possui algumas caracteristicas a mais:
- Conversão de dumps de memória 64 bit;
- Conversão de arquivos de hibernação do Windows 7;
- Conversão de dumps de memória do Windows 7;
- Usar o win32dd e win64dd em batchs/scripts;
- Uso do win32dd e win64dd em modo interativo;
- Conformidade com o UAC do Vista e Win7 para Win32dd e Win64dd;

Alguém já está usando e gostaria de comentar ?

Até o próximo post !

2 comentários:

SS disse...

Grande Tony, valeu pela dica, tinha passado em branco.. Aproveitei para atualizar um antigo post sobre ferramentas de dump e análise de memória: http://sseguranca.blogspot.com/2008/12/forense-de-memria-uma-comparao-de.html

[ ]s!

S.S.

Tony Rodrigues disse...

Blz !
Os produtos do Matthieu são fantásticos e ele é muito acessível. Há alguns outros lançados por ele, incluindo o Sandman, para trabalhar com arquivos hyberfil.sys.

[]ao