J'ai besoin d'un moyen pratique pour analyser un instantané de registres RAM + et visualiser facilement (pas nécessairement de manière graphique) les structures architecturales x86. Cela inclurait les tables de pages, les tables de descripteurs d'interruption, la table de descripteurs globaux, etc.Outil pour décoder les tables de pages et les tables de descripteurs à partir d'un instantané de RAM
Notez que je ne suis pas intéressé par les informations spécifiques au système d'exploitation (par exemple, la liste de processus, etc.), je suis simplement intéressé par l'architecture. structures.
Évidemment, on peut juste comprendre la mise en page pour toutes ces structures (et toutes les versions) de la documentation Intel mais je me demande s'il existe déjà un outil simple qui les décode.
Vérifiez les outils d'imagerie mémoire pour la médecine légale http://forensicswiki.org/wiki/Tools: Memory_Imaging (la plupart des outils et solutions sont destinés à la capture d'images mémoire, mais certains ont aussi des fonctions de décodage/recherche, aussi http://forensicswiki.org/wiki/Memory_analysis et http://forensicswiki.org/wiki/Linux_Memory_Analysis) . Comment avez-vous eu la décharge? Avez-vous aussi des sauvegardes de registres CPU? (certaines structures sont enregistrées dans des registres privilégiés). Connaissez-vous la version du noyau Linux (la version inexacte peut aider aussi)? – osgx
John, "informations spécifiques au système d'exploitation (par exemple, liste de processus, etc.), je suis juste intéressé par les structures architecturales." - mais la mémoire virtuelle du processus est séparée pour chaque processus, de sorte qu'il est toujours spécifique au système d'exploitation comment trouver chaque cartographie virtuelle de chaque processus. Certaines parties des tables de pages peuvent être partagées entre les processus (la partie noyau des mappages est partagée sous Linux et Windows); La partie utilisateur n'est probablement pas partagée ou peut être partiellement partagée. Alors, essayez d'écrire votre propre plugin aux outils d'analyse de Forensics si votre OS a des processus avec différents mappages de mémoire virtuelle. – osgx