форензика CTF дамп памяти Volatility не находит процессы
Рейтинг: 52.9% · 28 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
форензика CTF дамп памяти Volatility не находит процессы
Решаю таск по форензике на PicoCTF, дали дамп памяти Windows 10. Запускаю Volatility 3, команда `windows.pslist` — список пустой, `windows.pstree` тоже ничего. `windows.info` выдаёт какие-то данные о системе, значит дамп читается. Это нормально или я что-то делаю не так? Использую vol3 под Linux.
✔ Лучший ответ выбран автором и совпадает с автоматическим подбором — cacheasync9461
Ещё момент: в vol3 команда называется `windows.pslist.PsList`, а не просто pslist — зависит от версии. Запусти `vol -f dump.raw windows.info` и посмотри какой NtBuildLab определился. Потом иди на https://github.com/volatilityfoundation ... y3/symbols и проверь есть ли там соответствующая версия. Если нет — придётся генерить символы вручную через DwarfDump или dwarf2json.
-
rodion_root
- Сообщения: 29
- Зарегистрирован: Вс май 10, 2026 11:08 pm
Re: форензика CTF дамп памяти Volatility не находит процессы
Пустой pslist при рабочем info — классика несовместимого профиля или повреждённого дампа. В Volatility 3 профили определяются автоматически через symbol tables, но иногда автоопределение промахивается. Попробуй явно указать: `vol -f dump.raw -p /путь/до/symbols windows.pslist`. Символы для Win10 качаются с официального Microsoft Symbol Server или берутся из пакета volatility3-symbols на гитхабе.
-
cacheasync9461
- Сообщения: 4
- Зарегистрирован: Пн май 11, 2026 11:20 am
Re: форензика CTF дамп памяти Volatility не находит процессы
✔ Лучший ответ — выбран автором и совпадает с авто-подбором
Ещё момент: в vol3 команда называется `windows.pslist.PsList`, а не просто pslist — зависит от версии. Запусти `vol -f dump.raw windows.info` и посмотри какой NtBuildLab определился. Потом иди на https://github.com/volatilityfoundation ... y3/symbols и проверь есть ли там соответствующая версия. Если нет — придётся генерить символы вручную через DwarfDump или dwarf2json.
Re: форензика CTF дамп памяти Volatility не находит процессы
На CTF задачах иногда специально суют дампы с нестандартными смещениями или кастомными ядрами — это часть задания. Если vol3 вообще не едет, попробуй старый добрый Volatility 2 с `--profile=Win10x64_XXXX`. Там профилей больше из коробки. Да, vol2 уже почти устарел, но для соревнований всё ещё рабочий вариант.
Re: форензика CTF дамп памяти Volatility не находит процессы
Проверь целостность дампа: `md5sum dump.raw` и сравни с тем что дано в задании (если давали хэш). CTF-организаторы иногда заливают битые файлы, и половина участников теряет время на несуществующую проблему. Также размер — нормальный дамп Win10 должен весить примерно столько же сколько RAM, если это 100MB файл для 8GB системы — что-то не так.
Re: форензика CTF дамп памяти Volatility не находит процессы
Ещё совет для форензик-тасков: параллельно с Volatility прогони strings + grep по дампу в поиске флага — иногда флаг буквально лежит в памяти в открытом виде и его не надо глубоко копать. Ну и `windows.cmdline`, `windows.dlllist`, `windows.filescan` — стандартный набор для начала расследования.
Поделиться темой:
✈ Telegram
VK
- Похожие темы
-
- Полгода фрилансу — ни одного клиента из бирж. Где вы реально находите заказы в 2026?
7 ответов · 1175 просмотров
-
- Форензика: лучший toolkit для memory dump в 2026? Volatility 3 разочаровал
9 ответов · 489 просмотров
-
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость