לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה memory dumper מרוחק
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 19-02-2013, 20:08
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
memory dumper מרוחק
מקווה שזה הפורום הנכון, יש לי שאלה.

מישהו מכיר דרך לעשות dump ל-RAM מרחוק? ממה שאני מבין דבר כזה ניתן רק באמצעות client/server מבוסס agent-ים. בינתיים שמעתי על encase, איזה עוד יש?

תודה
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 19-02-2013, 20:17
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
  
חבר מתאריך: 25.10.01
הודעות: 42,775
בתגובה להודעה מספר 1 שנכתבה על ידי Quick שמתחילה ב "memory dumper מרוחק"
אני די בטוח שזה נופל תחת "תכנות", כי לרשת אין "זכרון"... per se.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 19-02-2013, 20:57
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
הגיוני... תוכל להעביר לשם בבקשה? :)(ל"ת)
בתגובה להודעה מספר 2 שנכתבה על ידי שימי שמתחילה ב "אני די בטוח שזה נופל תחת..."
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 19-02-2013, 22:26
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
  
חבר מתאריך: 25.10.01
הודעות: 42,775
בתגובה להודעה מספר 3 שנכתבה על ידי Quick שמתחילה ב "הגיוני... תוכל להעביר לשם בבקשה? :)"
DONE
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 22-02-2013, 09:05
צלמית המשתמש של fap
  fap fap אינו מחובר  
 
חבר מתאריך: 30.08.09
הודעות: 2,880
בתגובה להודעה מספר 1 שנכתבה על ידי Quick שמתחילה ב "memory dumper מרוחק"
חשוב לך לעשות dump של כל ה-ram? או שאתה מתכוון לעשות dump לזכרון של תהליך מסוים?
_____________________________________
ציטוט:
במקור נכתב על ידי Michael Shermer
Smart people are very good at rationalizing things they came to believe for non-smart reasons.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 23-02-2013, 03:09
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
כל הראם(ל"ת)
בתגובה להודעה מספר 5 שנכתבה על ידי fap שמתחילה ב "חשוב לך לעשות dump של כל..."
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 23-02-2013, 10:56
צלמית המשתמש של fap
  fap fap אינו מחובר  
 
חבר מתאריך: 30.08.09
הודעות: 2,880
בתגובה להודעה מספר 6 שנכתבה על ידי Quick שמתחילה ב "כל הראם"
אני יכול לחשוב על כמה דרכים:
1. תשתמש בpsexec בשביל להריץ בצורה מרוחקת את livekd עם פקודת debugger לקחת kernel dump.
2. תתחבר עם windbg למכונה המרוחקת כ-kernel debugger דרך com port (דורש ריסטרט).
3. דרך ערבית תהיה לתת לwindows לקחת את הdump בשבילך ולכתוב scheduled task שמעתיק את קובץ ה dump הצידה בעליה של המחשב. אפשר להקריס עם NotMyFault.

לינקים רלוונטים:
http://www.forensicswiki.org/wiki/T...ging_Techniques
http://support.microsoft.com/kb/969028
_____________________________________
ציטוט:
במקור נכתב על ידי Michael Shermer
Smart people are very good at rationalizing things they came to believe for non-smart reasons.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #8  
ישן 23-02-2013, 15:06
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
בתגובה להודעה מספר 7 שנכתבה על ידי fap שמתחילה ב "אני יכול לחשוב על כמה..."
ציטוט:
במקור נכתב על ידי fap
תשתמש בpsexec בשביל להריץ בצורה מרוחקת את livekd עם פקודת debugger לקחת kernel dump.

רעיון טוב, תודה!
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #9  
ישן 23-02-2013, 15:58
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
זה אומר שעל המחשב המרוחק צריך להיות מותקן windows debugging tools + .NET Framework?(ל"ת)
בתגובה להודעה מספר 7 שנכתבה על ידי fap שמתחילה ב "אני יכול לחשוב על כמה..."
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #10  
ישן 23-02-2013, 20:32
צלמית המשתמש של fap
  fap fap אינו מחובר  
 
חבר מתאריך: 30.08.09
הודעות: 2,880
בתגובה להודעה מספר 9 שנכתבה על ידי Quick שמתחילה ב "זה אומר שעל המחשב המרוחק צריך להיות מותקן windows debugging tools + .NET Framework?"
לא.
אתה רק צריך sysinternals במחשב המקומי.
תריץ את psexec עם c- בשביל להעתיק את livekd למחשב המרוחק.
_____________________________________
ציטוט:
במקור נכתב על ידי Michael Shermer
Smart people are very good at rationalizing things they came to believe for non-smart reasons.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #11  
ישן 23-02-2013, 23:42
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 1 שנכתבה על ידי Quick שמתחילה ב "memory dumper מרוחק"
כבל FireWire ארוך.
אפשר להשתמש ב-DMA ולקרוא את הזיכרון ישירות. לפי גוגל יש עוד טכנולוגיות שתומכות ב-DMA באופן דומה (Thunderbolt... לולז).

וברצינות: שקלת לתת קצת פרטים?
אם המחשב שאתה רוצה לדגום מריץ XP ומעלה וגם יש לך הרשאות אדמין מרוחקות מלאות אליו (על כל מה שזה כולל - הפורטים המתאימים פותחים בפיירוול, התאמה בשיטות האותנתיקציה בין הלקוח לשרת, "Remote UAC" מבוטל/מחשב בדומיין, וכו'), אז כנראה ש-psexec+livekd זה הפיתרון הכי טוב. (פה יש גרסה שלכאורה תעבוד על ווינדוס 2000, אבל לך תדע מה יש באתר הזה... http://court.shrock.org/sysinternals-bt/)

עד כדי זה שה-RAM לא במצב יציב או עקבי, כן?
(אולי לבצע hibernation ולקרוא את קובץ hiberfil.sys יהיה עדיף מהבחינה הזאת. צריך לבדוק.)

האם זה המצב שלך? מאיפה לי לדעת? לא אמרת...
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #12  
ישן 26-02-2013, 20:51
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
בתגובה להודעה מספר 11 שנכתבה על ידי פסטן שמתחילה ב "כבל FireWire ארוך. אפשר..."
יש לי הרשאות מלאות, המערכות מריצות WIN7.
נראה לי עדיף psexec מלפתח משהו שעושה hibernation מרוחק, מעלה מערכת עם מע"ה אחרת (אחרי ה-hiberfil.sys נטען לזיכרות ונמחק אם אני ממשיך את המערכת), עושה mount ל-HD, מחלץ את הקובץ ושולח אותו אליי בחזרה...

הקטע הוא שlivekd דורש kd.exe שנמצא בחבילת debugging לא?

חוץ מזה, איזה עוד פרטים אתה צריך?
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #13  
ישן 27-02-2013, 02:39
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 12 שנכתבה על ידי Quick שמתחילה ב "יש לי הרשאות מלאות, המערכות..."
ציטוט:
במקור נכתב על ידי Quick
יש לי הרשאות מלאות, המערכות מריצות WIN7.
שמתי לב שלא התייחסת לקטע של Remote UAC. בדקת כבר שאתה יכול לבצע psexec?

ציטוט:
במקור נכתב על ידי Quick
נראה לי עדיף psexec מלפתח משהו שעושה hibernation מרוחק, מעלה מערכת עם מע"ה אחרת (אחרי ה-hiberfil.sys נטען לזיכרות ונמחק אם אני ממשיך את המערכת), עושה mount ל-HD, מחלץ את הקובץ ושולח אותו אליי בחזרה...
מה זה כבר להעלות מע"ה אחרת? תעלה לינוקס באמצעות שינוי זמני של ה-boot sector או באמצעות PXE מרחוק או משהו בסגנון ושלח את הקובץ לרשת...
לא אכפת לך מזה שאתה מקבל תמונה 'מטושטשת' של הזיכרון?

ציטוט:
במקור נכתב על ידי Quick
הקטע הוא שlivekd דורש kd.exe שנמצא בחבילת debugging לא?
כן. רשמית עושה רושם שאתה צריך להתקין את ה-MSI, כדי לעמוד בתנאי הרישיון של MS, אבל IANAL וגו'.

ציטוט:
במקור נכתב על ידי Quick
חוץ מזה, איזה עוד פרטים אתה צריך?
מה בכלל המטרה שלך בכל הסיפור הזה?
(נגיד, בעזרת livekd על ווינדוס ויסטה ומעלה אפשר לקבל תמונה עקבית - אבל רק של הקרנל.)

חוץ מזה, עכשיו התסכלתי על הקישור ש-FAP הביא לך למעלה, ויש שם כמה תוכנות שגם אמורות לעשות את זה. אולי.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #14  
ישן 27-02-2013, 21:42
  משתמש זכר Quick Quick אינו מחובר  
 
חבר מתאריך: 12.02.05
הודעות: 4,020
בתגובה להודעה מספר 13 שנכתבה על ידי פסטן שמתחילה ב "[QUOTE=Quick]יש לי הרשאות..."
כן, אני יכול לעשות psexec

והמטרה שלי זה לטעון את הקובץ dump ל-volatility framework אם אתה מכיר
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #15  
ישן 28-02-2013, 22:37
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 14 שנכתבה על ידי Quick שמתחילה ב "כן, אני יכול לעשות..."
מצוין. volatility מתה על הפורמט הזה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 16:05

הדף נוצר ב 0.07 שניות עם 12 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר