Всем доброе утро
У меня VMware Workstation 15.5.1, поставил я на нее Windows 10 Pro x64 (сборка 10240, 2015г)
Сдампил оперативку с помощью ПО Belkasoft RAM Capturer (запускал от админа)
Закинул этот дамп в Volatility .... и нифига, Volatility не может его обработать
—————————————————————————-
А задача у меня такая:
Собрать "стенд" с Windows 10 x64, с которого можно легко снимать дамп оперативки, чтобы его исследовать в Volatility
—————————————————————————-
Что пробовал:
1) Забирать файлы виртуалки VMware .vmem и .vmss и подсовывать их Volatility
2) Объединять их ( .vmem и .vmss) в дамп памяти .dmp с помощью утилиты vmss2core и подсовывать Volatility
Вот этот способ давал хоть какую-то инфу при вызове плагина imageinfo, но с миллионом ошибок volatility.debug , и другие плагины (например, pslist) не отрабатывали
(https://flings.vmware.com/vmss2core)
3) Ставить Win10 на VirtualBox и посредством команды:
vboxmanage debugvm "Win7" dumpvmcore --filename test.elf
получать дамп оперативки вирутальной машины, но кома

profile попробуй укажи

Всё то же самое, обычно же imageinfo как раз используют для того, чтобы узнать профиль

imageinfo не всегда корректно определяет профиль. Вот ещё здесь покури - https://github.com/volatilityfoundation/volatility/wiki/2.6-Win-Profiles

Спасибо, сейчас гляну

Судя по тому, что я сейчас прочитал, если бы профиль был указан неверно, то я бы видел искривленный вывод, однако я вижу, что выдает инфу о том, что Volatility нифига не может найти

Перебрал все профили для win10x64, вывод для psscan точно такой же

Кому нибудь крипт файлов недорого интересен?

На чем?

Если остался где то исходник могу оболочку написать, крипт по гост34.12-15 написан с с асм вставками

Если интересно будет напиши, поищу

Сколько оперативки?

У меня порой не прожовывает больше 7

А бывает под виндой отрабатывает, а под линькой нет

Дамп только через белку снимал?

2гб выдал

Да, через него

На паузу поставь виртуалку и будет прямой дамп