31 ene. 2019

Dumps de memoria de PowerShell, en busca de lineas de comando y scripts

Empezando el 2019, Lee Holmes publicó dos posts muy interesantes sobre la estructura de memoria de los objetos tipo HistoryInfo de PowerShell y se tomó el trabajo de identificarlos y definir un procedimiento para llegar fácilmente a ellos, para obtener datos que son muy importantes al momento de realizar actividades de análisis forense digital, o cuando estamos respondiendo a incidentes y buscamos facilitar la identificación de la amenaza.

Gracias a este trabajo, proponemos 2 scripts que facilitan el análisis de estos elementos y aquí te indicamos como puedes usarlos.

Obteniendo scripts y comandos de dumps de memoria de PowerShell
Los artículos indican que si nos enfrentamos al análisis de un sistema donde los logs de PowerShell no se encuentran habilitados, pero tenemos la oportunidad de obtener una captura de la memoria del proceso, será posible obtener las líneas de comando ejecutadas [1] y también será posible obtener los nombres de los scripts ejecutados y su contenido [2].

Contenido completo en fuente original CSIETE

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!