Ιδρυματικό Αποθετήριο
Πολυτεχνείο Κρήτης
Πολυτεχνείο Κρήτης
EN
|
EL
| URI | http://purl.tuc.gr/dl/dias/222EED11-E4B5-4295-8497-2F25FDD9DA8C | - |
| Αναγνωριστικό | https://doi.org/10.26233/heallink.tuc.104130 | - |
| Γλώσσα | en | - |
| Μέγεθος | 72 pages | en |
| Τίτλος | From memmap to minidump: Creating a Volatility Plugin to facilitate per-process memory analysis | el |
| Τίτλος | Από memmap στο minidump: Ανάπτυξη επέκτασης Volatility για τη διευκόλυνση ανάλυσης μνήμης ανά διεργασία | el |
| Δημιουργός | Stavrou Odysseas | en |
| Δημιουργός | Σταυρου Οδυσσεας | el |
| Συντελεστής [Επιβλέπων Καθηγητής] | Ioannidis Sotirios | en |
| Συντελεστής [Επιβλέπων Καθηγητής] | Ιωαννιδης Σωτηριος | el |
| Συντελεστής [Μέλος Εξεταστικής Επιτροπής] | Samoladas Vasilis | en |
| Συντελεστής [Μέλος Εξεταστικής Επιτροπής] | Σαμολαδας Βασιλης | el |
| Συντελεστής [Μέλος Εξεταστικής Επιτροπής] | Davide Maiorca (University of Cagliari) | en |
| Εκδότης | Πολυτεχνείο Κρήτης | el |
| Εκδότης | Technical University of Crete | en |
| Ακαδημαϊκή Μονάδα | Technical University of Crete::School of Electrical and Computer Engineering | en |
| Ακαδημαϊκή Μονάδα | Πολυτεχνείο Κρήτης::Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών | el |
| Περιγραφή | Research on Windows Internals and Volatility. Develop a Volatility plugin that can output a Minidump compatible process dump from a full memory snapshot | en |
| Περίληψη | The Volatility Framework is the most advanced memory analysis framework in its category out there. It can effectively analyse Windows, Linux and Mac memory snapshots. However, Volatility deals explicitly with and in memory. It will give you a view into the memory snapshot for you to explore the low level system structures and venture at any (valid) address of any process physical or virtual, either in kernel-land or user-land. But what happens if we want to explore a tad bit higher level of memory, say for example the Objects in a process suspected of being a Command and Control (C2/CnC) agent? Or a red-teamer extracting secrets from a specific process? How do we go from a whole Windows memory snapshot into an isolated "user-friendly" Minidump that we can use with already made tools (WinDBG, mimikatz, and most notably their plugins) to analyse a single process? This work leverages some pre-existing research in an attempt to create a Volatility plugin that can extract and restructure a Process’ memory into a Minidump snapshot taking advantage of Volatility’s highly modular, and pluggable tooling and in the process, outlining how given access to the opaque structures (_EPROCESS, _ETHREAD, etc.) one can generate analysable Minidumps. | en |
| Περίληψη | Το Volatility αποτελεί το πιο προηγμένο εργαλείο ανάλυσης μνήμης στην κατη- γορία του. Μπορεί αποτελεσματικά να αναλύσει στιγμιότυπα μνήμης από Win- dows, Linux και Mac. Ωστόσο, το Volatility ασχολείται ρητά με τη μνήμη, επιτρέποντας την εξερεύνηση δομών χαμηλού επιπέδου και την πρόσβαση σε οποιαδήποτε έγκυρη διεύθυνση φυσικής ή εικονικής μνήμης, είτε στον χώρο του πυρήνα είτε του χρήστη. Τι συμβαίνει όμως όταν θέλουμε να διερευνήσουμε μνήμη υψηλότερου επιπέδου, όπως για παράδειγμα αντικείμενα σε μια διεργασία που θεωρείται ύποπτη ως πράκτορας Command and Control (C2/CnC); ΄Η όταν μια ομάδα επιθετικού ελέγχου (red team) θέλει να εξαγάγει ευαίσθητα δεδομένα από μια συγκεκριμένη διεργασία; Πώς μπορούμε από ένα πλήρες στιγμιότυπο μνήμης των Windows να δημιουργήσουμε ένα απομονωμένο και«φιλικό προς τον χρήστη» Minidump που να μπορεί να χρησιμοποιηθεί από ήδη διαθέσιμα εργαλεία (όπως WinDBG, mimikatz, και κυρίως τις επεκτάσεις τους) για την ανάλυση μιας μεμονωμένης διεργασίας; Η παρούσα εργασία αξιοποιεί υπάρχουσα έρευνα για τη δημιουργία μίας επέκτασης (plugin) στο Volatility που μπορεί να εξάγει και να αναδιαμορφώσει τη μνήμη μιας διεργασίας σε ένα στιγμιότυπο Minidump. Η προσέγγιση αυτή εκμεταλλεύεται την υψηλή αρθρωτότητα και επεκτασιμότητα του Volatility, και εξηγεί πώς, μέσω πρόσβασης σε αδιαφανείς δομές (όπως _EPROCESS, _ETHREAD), μπορούμε να παράγουμε Minidumps κατάλληλα για ανάλυση. | el |
| Τύπος | Διπλωματική Εργασία | el |
| Τύπος | Diploma Work | en |
| Άδεια Χρήσης | http://creativecommons.org/licenses/by/4.0/ | en |
| Ημερομηνία | 2025-07-22 | - |
| Ημερομηνία Δημοσίευσης | 2025 | - |
| Θεματική Κατηγορία | Windows | en |
| Θεματική Κατηγορία | Volatility | en |
| Θεματική Κατηγορία | Ditigal Forensics | en |
| Βιβλιογραφική Αναφορά | Odysseas Stavrou, "From memmap to minidump: Creating a Volatility Plugin to facilitate per-process memory analysis", Diploma Work, School of Electrical and Computer Engineering, Technical University of Crete, Chania, Greece, 2025 | en |
| Βιβλιογραφική Αναφορά | Οδυσσέας Σταύρου, "Από memmap στο minidump: Ανάπτυξη επέκτασης Volatility για τη διευκόλυνση ανάλυσης μνήμης ανά διεργασία", Διπλωματική Εργασία, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2025 | el |
Copyright © DIAS 2013
