Buenas.
Tengo un volcado de memoria de una máquina Windows. La estoy analizando con Volatility, y veo procesos abiertos de los cuáles me gustaría saber la contraseña que se introdujo, o datos en vivo.
¿Sabéis cómo puedo hacerlo?
Gracias!
llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.
Sí. Ya sé el proceso y su PID. He volcado el proceso, pero no puedo abrirlo con un editor hexadecimal. Tampoco sé cómo acceder a los ficheros asociados a ese proceso que están almacenados en memoria.Balloffet: escribió: llegado este punto, estoy seguro que vos ya sabés que cada programa almacena en memoria sus contraseñas como se le cantan las p...; por ende, debés saber qué estás buscando para poder encontrarlo. en otras palabras, esto va a requerir un esfuerzo mayor de tu parte, y sin dudas te va a catapultar al siguiente nivel. fijate qué procesos hay en el dump que tenés, y decidí de cuál querés las contraseñas. de ahi en adelante se pone salada la cuestión, pero rinde frutos palpables.
Gracias.
