Dumps de memoria de PowerShell, en busca de lineas de comando y scripts

Empezando el 2019, Lee Holmes publicó dos posts muy interesantes sobre la estructura de memoria de los objetos tipo HistoryInfo de PowerShell y se tomó el trabajo de identificarlos y definir un procedimiento para llegar fácilmente a ellos, para obtener datos que son muy importantes al momento de realizar actividades de análisis forense digital, o cuando estamos respondiendo a incidentes y buscamos facilitar la identificación de la amenaza.

Gracias a este trabajo, proponemos 2 scripts que facilitan el análisis de estos elementos y aquí te indicamos como puedes usarlos.

Obteniendo scripts y comandos de dumps de memoria de PowerShell
Los artículos indican que si nos enfrentamos al análisis de un sistema donde los logs de PowerShell no se encuentran habilitados, pero tenemos la oportunidad de obtener una captura de la memoria del proceso, será posible obtener las líneas de comando ejecutadas [1] y también será posible obtener los nombres de los scripts ejecutados y su contenido [2].

Contenido completo en fuente original CSIETE

Via: feedproxy.google.com
Dumps de memoria de PowerShell, en busca de lineas de comando y scripts Dumps de memoria de PowerShell, en busca de lineas de comando y scripts Reviewed by Anónimo on 17:58 Rating: 5