1. 威客安全首页
  2. 安全资讯

DAMM – 开源内存分析工具

DAMM - 开源内存分析工具


DAMM - 开源内存分析工具


DAMM(内存中恶意软件的差异分析)是一种基于Volatility的开源内存分析工具。


它旨在为社区提供有趣的新技术的试验场。这些技术试图通过减少数据和编纂一些专业知识来加快调查过程。


特征:


?30个Volatility插件组合成~20个DAMM插件(例如,pslist , psxview 和其他元素组合成’进程’插件)

可以在一次调用中运行多个插件

存储插件的选项会导致SQLite数据库进行保存或“缓存”分析

一种过滤/类型系统,允许轻松过滤像pid这样的属性,以查看与某些过程相关的所有信息以及字符串的精确或部分匹配等。

能够显示相同或类似机器的两个结果数据库之间的差异,并从cmdline操作差异如何操作

能够警告某些类型的可疑行为

终端,tsv 或 grepable的输出


用法:


damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG] [--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]        [--grepable] [--filter FILTER] [--filtertype FILTERTYPE]        [--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]


可选参数:


-h, –  help显示此帮助消息并退出

-d DIR其他插件目录的路径

-p PLUGIN [PLUGIN …]
                        要运行的插件。有关选项列表,请使用–info

-f FILE用于运行插件的内存映像文件

-k KDBG图像的KDBG地址(十六进制)

–db DB SQLite db文件,用于高效的输入/输出

–profile PROFILE图像的波动率配置文件(例如WinXPSP2x86)

–debug打印调试语句

–info打印可用的波动率配置文件,插件

–tsv打印屏幕格式化输出。

–grepable以grepable文本格式打印

–filter FILTER过滤结果名称:值对,例如,pid:42

–filtertype FILTERTYPE
                        过滤匹配类型; “精确”或“部分”,
                        默认为部分

–diff BASELINE使用此db文件将imageFile | db扩展为基线

-u FIELD [FIELD …]使用指定的字段来确定唯一性
                        记忆时的记忆

-warnings寻找可疑物品。

-q查询提供的db(通过–db)。

DAMM - 开源内存分析工具


推荐文章++++

DAMM - 开源内存分析工具

*简单易用的apk分析工具ApkIDE

*攻击日志分析工具

*snifferview网络嗅探分析工具


DAMM - 开源内存分析工具

DAMM - 开源内存分析工具

原文始发于微信公众号(黑白之道):DAMM – 开源内存分析工具

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论