DAMM – 开源内存分析工具

华盟学院山东省第二期线下学习计划


DAMM - 开源内存分析工具

DAMM(内存中恶意软件的差异分析)是一种基于Volatility的开源内存分析工具。

它旨在为社区提供有趣的新技术的试验场。这些技术试图通过减少数据和编纂一些专业知识来加快调查过程。

特征:


?30个Volatility插件组合成~20个DAMM插件(例如,pslist , psxview 和其他元素组合成'进程'插件)

可以在一次调用中运行多个插件

存储插件的选项会导致SQLite数据库进行保存或“缓存”分析

一种过滤/类型系统,允许轻松过滤像pid这样的属性,以查看与某些过程相关的所有信息以及字符串的精确或部分匹配等。

能够显示相同或类似机器的两个结果数据库之间的差异,并从cmdline操作差异如何操作

能够警告某些类型的可疑行为

终端,tsv 或 grepable的输出


用法:

damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG]

 [--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]
        [--grepable] [--filter FILTER] [--filtertype FILTERTYPE]
        [--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]

可选参数:


-h, -  help显示此帮助消息并退出

-d DIR其他插件目录的路径

-p PLUGIN [PLUGIN ...]
                        要运行的插件。有关选项列表,请使用--info

-f FILE用于运行插件的内存映像文件

-k KDBG图像的KDBG地址(十六进制)

--db DB SQLite db文件,用于高效的输入/输出

--profile PROFILE图像的波动率配置文件(例如WinXPSP2x86)

--debug打印调试语句

--info打印可用的波动率配置文件,插件

--tsv打印屏幕格式化输出。

--grepable以grepable文本格式打印

--filter FILTER过滤结果名称:值对,例如,pid:42

--filtertype FILTERTYPE
                        过滤匹配类型; “精确”或“部分”,
                        默认为部分

--diff BASELINE使用此db文件将imageFile | db扩展为基线

-u FIELD [FIELD ...]使用指定的字段来确定唯一性
                        记忆时的记忆

-warnings寻找可疑物品。

-q查询提供的db(通过--db)。

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论