Заметки. Forensic №1. Поиск изображений в дампах памяти
Life-Hack [Жизнь-Взлом]/ХакингВ этой заметки мы рассмотрим небольшую хитрость при анализе дампов памяти системы или отдельного приложения, которая позволяет просматривать изображения, которые были открыты программой или находились в памяти ОС.
Разберём небольшой пример на основе дампа приложения "mspaint".
Немного теории.
Когда вы используете любое приложение, которые отображает изображения (например, рисуете в paint или фотошоп), то изображение так или иначе сохраняется в оперативной памяти и его можно просмотреть, если был снят полный дамп оперативной памяти. Однако, есть некоторая особенность связанная с тем, что это изображение не сохраняется как обычное изображение (имеется ввиду, что оно не имеет никакого заголовка формата файла и его сложно определить путём анализа бинарного файла). То есть с помощью "binwalk" у вас скорей всего не получится определить "сырое" изображение в дампе.
Для решения данной проблемы можно использовать другие утилиты, например Gimp или GBS (ссылка на GBS).
По сути логика работы этих утилит очень проста, они пытаются построить графический поток по указанным характеристикам (высота, ширина, глубина цвета) с указанного смещения.
Практический пример.
Нарисуем что нибудь в mspaint.
Отлично, теперь мы можем снять дамп данного процесса (с помощью Диспетчера задач на Win10).
После завершения создания будет отображён полный путь до дампа.
Получаем дамп около 170 Мб размером и загружаем в GBS.
При первоначальной загрузке GBS будет выглядеть так, как показано выше. Теперь встаёт один из очень важных вопросов: "Какое разрешение выбрать?". Здесь нет точного ответа, но лучше ставить какие-то стандартные разрешения "1024x800", "1920x1080", "800x600" и т.д.
Значение биты на пиксель можно выставить в 24.
В итоге настройки для первого прохода могут быть примерно такие.
После установки настроек просто прокликаем кнопку "Next frame", чтобы быстро пробежаться по всем фреймам, при этом смотрим на вывод и пытаемся уловить хоть что-то отображаемое.
На одном из фреймов натыкаемся на подобный вывод и тут можно предположить, что это текст, но он немного разъехался. Попробуем поменять максимальную ширину и высоту.
В итоге получим изображение выше. Уже виден текст, но он сложно читается. Попробуем поменять количество битов на цвет (поставим 32).
Отлично, текст читаемый, но перевёрнутый. Развернуть можно с помощью выделенной кнопки (обведена красным).
Теперь мы получили полностью верный текст, который не сложно прочитать.
В целом навык пользования данной утилитой получается быстро, нужно просто примерно понимать что крутить и на что это влияет, а также выставлять необходимые характеристики.