Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca
Tips: DLovLUzkYsFNbAT5xwewQ6BAWztH4MtDgn

Contribute to SecuObs by sending bitcoins or dogecoins.
New content (en): 1pwnwwLjiu8U6jgqEchPXibM2dJA2CqQq
New website: 1hckU85orcGCm8A9hk67391LCy4ECGJca

44i3VeDHHoL5U6cULcgP6gPWw4p2oCoSGZXepBSDV42mGuLpuSbn5Kh3uGJ8Z9YqkaRwbQqq8op4nShvptRMByNxQFfBvVd
Chercher :
Newsletter :  

Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs




Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires

Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs

Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques

RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter

RSS SecuObs :
- sécurité
- exploit
- windows
- attaque
- outil
- microsoft

RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network

RSS Videos :
- curit
- security
- biomet
- metasploit
- biometric
- cking

RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco

RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques

RSS OPML :
- Français
- International



Revue de presse francophone :
- Appaloosa AppDome nouent un partenariat pour accompagner les entreprises dans le déploiement et la protection des applications mobiles
- D-Link offre une avec un routeur VPN sans fil AC
- 19 mai Paris Petit-Déjeuner Coreye Développer son business à l'abri des cyberattaques
- POYNTING PRESENTE LA NOUVELLE ANTENNE OMNI-291, SPECIALE MILIEU MARITIME, CÔTIER ET MILIEU HUMIDE
- Flexera Software Les utilisateurs français de PC progressent dans l'application de correctifs logiciels, mais des défis de tailles subsistent
- Riverbed lance SD-WAN basé sur le cloud
- Fujitsu multi-récompensé VMware lui décerne plusieurs Partner Innovation Awards à l'occasion du Partner Leadership Summit
- Zscaler Private Access sécuriser l'accès à distance en supprimant les risques inhérents aux réseaux privés virtuels
- QNAP annonce la sortie de QTS 4.2.1
- Une enquête réalisée par la société de cyber sécurité F-Secure a décelé des milliers de vulnérabilités graves, potentiellement utilisables par des cyber criminels pour infiltrer l'infrastru
- Trouver le juste équilibre entre une infrastructure dédiée et cloud le dilemme de la distribution numérique
- 3 juin - Fleurance - Cybersécurité Territoires
- Cyber-assurances Seules 40 pourcents des entreprises françaises sont couvertes contre les violations de sécurité et les pertes de données
- Des étudiants de l'ESIEA inventent CheckMyHTTPS un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
- Les produits OmniSwitch d'Alcatel-Lucent Enterprise ALE gagnent en sécurité pour lutter contre les cyber-attaques modernes

Dernier articles de SecuObs :
- DIP, solution de partage d'informations automatisée
- Sqreen, protection applicative intelligente de nouvelle génération
- Renaud Bidou (Deny All): "L'innovation dans le domaine des WAFs s'oriente vers plus de bon sens et d'intelligence, plus de flexibilité et plus d'ergonomie"
- Mises à jour en perspective pour le système Vigik
- Les russes ont-ils pwn le système AEGIS ?
- Le ministère de l'intérieur censure une conférence au Canada
- Saut d'air gap, audit de firmware et (in)sécurité mobile au programme de Cansecwest 2014
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- #FIC2014: Entrée en territoire inconnu
- Le Sénat investit dans les monnaies virtuelles

Revue de presse internationale :
- VEHICLE CYBERSECURITY DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack
- Demand letter served on poll body over disastrous Comeleak breach
- The Minimin Aims To Be The Simplest Theremin
- Hacking group PLATINUM used Windows own patching system against it
- Hacker With Victims in 100 Nations Gets 7 Years in Prison
- HPR2018 How to make Komboucha Tea
- Circuit Bender Artist bends Fresnel Lens for Art
- FBI Director Suggests iPhone Hacking Method May Remain Secret
- 2016 Hack Miami Conference May 13-15, 2016
- 8-bit Video Wall Made From 160 Gaming Keyboards
- In An Era Of Decline, News Sites Can t Afford Poor Web Performance
- BeautifulPeople.com experiences data breach 1m affected
- Swedish Air Space Infringed, Aircraft Not Required
- Why cybercriminals attack healthcare more than any other industry
- Setting the Benchmark in the Network Security Forensics Industry

Annuaire des videos
- FUZZING ON LINE PART THREE
- Official Maltego tutorial 5 Writing your own transforms
- Official Maltego tutorial 6 Integrating with SQL DBs
- Official Maltego tutorial 3 Importing CSVs spreadsheets
- install zeus botnet
- Eloy Magalhaes
- Official Maltego tutorial 1 Google s websites
- Official Maltego tutorial 4 Social Networks
- Blind String SQL Injection
- backdoor linux root from r57 php shell VPS khg crew redc00de
- How To Attaque Pc With Back Track 5 In Arabique
- RSA Todd Schomburg talks about Roundup Ready lines available in 2013
- Nessus Diagnostics Troubleshooting
- Panda Security Vidcast Panda GateDefender Performa Parte 2 de 2
- MultiPyInjector Shellcode Injection

Revue Twitter
- RT @fpalumbo: Cisco consistently leading the way ? buys vCider to boost its distributed cloud vision #CiscoONE
- @mckeay Looks odd... not much to go on (prob some slideshow/vid app under Linux)
- [SuggestedReading] Using the HTML5 Fullscreen API for Phishing Attacks
- RT @BrianHonan: Our problems are not technical but cultural. OWASP top 10 has not changed over the years @joshcorman #RSAC
- RT @mikko: Wow. Apple kernels actually have a function called PE_i_can_has_debugger:
- [Blog Spam] Metasploit and PowerShell payloads
- PinkiePie Strikes Again, Compromises Google Chrome in Pwnium Contest at Hack in the Box: For the second time thi...
- @mikko @fslabs y'all wldn't happen to have lat/long data sets for other botnets, wld you? Doing some research (free/open info rls when done)
- RT @nickhacks: Want to crash a remote host running Snow Leopard? Just use: nmap -P0 -6 --script=targets-ipv6-multicast-mld #wishiwaskidding
- An inexpensive proxy service called is actually a front for #malware distribution -

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse
Annuaires des videos : curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit

+ de mots clés pour les videos
Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- [Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing
- [Infratech - release] version 0.6 de Bluetooth Stack Smasher
- [IDS Snort Windows – Partie 2] Installation et configuration
- [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Mises à jour en perspective pour le système Vigik
- USBDumper 2 nouvelle version nouvelles fonctions !
- EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel
- La sécurité des clés USB mise à mal par USBDUMPER
- Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
- Installation sécurisée d'Apache Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , Mod_security

Top bi-hebdo de la revue de presse
- StackScrambler and the Tale of a Packet Parsing Bug

Top bi-hebdo de l'annuaire des videos
- DC++ Botnet. How To DDos A Hub With Fake IPs.
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- Defcon 14 Hard Drive Recovery Part 3

Top bi-hebdo de la revue Twitter
- RT @secureideas: I believe that all the XSS flaws announced are fixed in CVS. Will test again tomorrow if so, release 1.4.3. #BASESnort
- Currently, we do not support 100% of the advanced PDF features found in Adobe Reader... At least that's a good idea.
- VPN (google): German Foreign Office Selects Orange Business for Terrestrial Wide: Full
- @DisK0nn3cT Not really, mostly permission issues/info leak...they've had a couple of XSS vulns but nothing direct.
- Swatting phreaker swatted and heading to jail: A 19-year-old American has been sentenced to eleven years in pris..
- RT @fjserna You are not a true hacker if the calc.exe payload is not the scientific one... infosuck.org/0x0035.png

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Mac OS X memory analysis with Volafox
Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS

Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]
S'abonner au fil RSS global de la revue de presse


Mac OS X memory analysis with Volafox

Par int for ensic blog
Le [2011-06-08] à 08:32:58


Présentation : By Andreas Schuster Copyright 2011 int for ensic blog . All rights reserved. Reproduction for commercial purposes including online advertisement interdicted. Kyeong-Sik Lee and the Korean Digital Forensic Research Center have released Volafox, a free and open-source tool to analyze Mac OS X memory images. Volafox is based on work by Matthieu Suiche paper and slides and the Volatility memory analysis framework. Volafox is written in pure Python and requires Python 2.5 or later. You simply download and unzip the archive. The tool's usage is straight forward python volafox.py Memory analyzer for OS X 0.5 - n0fate Contact rapfer gmail.com usage python volafox.py -i MEMORY_ -s KERNEL_ -o INFORMATION - CAUTION - this program need to physical memory image, kernel image mach_kernel and it support to Intel x86 Architecture only INFORMATION os_version Dawin kernel detail version machine_info Kernel version, cpu, memory information mount_info Mount information kern_kext_info Kernel KEXT Kernel Extensions information kext_info KEXT Kernel Extensions information proc_info Process list syscall_info Kernel systemcall information The memory image needs to be in plain format. So, it can not process images that were obtained by ATC-NY's Mac Memory Reader without further format conversion. Having a Mach-o Address Space for this would be a nice addition. While it should be possible to find the kernel in the memory dump, this has not been implemented yet and Volafox requires a separate kernel image. For starters, I suggest to go with the sample files that were provided by the author a memory image and the proper Mach kernel. Now let's find out about the OS version first python volafox.py -i MemoryImage.mem -s mach_kernel -o os_version Memory Image MemoryImage.mem Kernel Image mach_kernel Information os_version Detail dawin kernel version 10A432 This command displays the ProductBuildVersion that you can also find in System Library CoreServices SystemVersion.plist. Here is some more information about the machine python volafox.py -i MemoryImage.mem -s mach_kernel -o machine_info Memory Image MemoryImage.mem Kernel Image mach_kernel Information machine_info - Mac OS X Basic Information - Major Version 10 Minor Version 0 Number of Physical CPUs 2 Size of memory in bytes 536870912 bytes Size of physical memory 536870912 bytes Number of physical CPUs now available 2 Max number of physical CPUs now possible 2 Number of logical CPUs now available 2 Max number of logical CPUs now possible 2 Volafox can traverse the list of mounted file systems python volafox.py -i MemoryImage.mem -s mach_kernel -o mount_info Memory Image MemoryImage.mem Kernel Image mach_kernel Information mount_info - Mount List - list entry fstypename mount on name mount from name 0304a290 hfs dev disk0s2 03049948 devfs dev devfs 03049000 autofs net map -hosts 0403d520 autofs home map auto_home 00000000 vmhgfs Volumes VMware Shared Folders .host OS X maintains a doubly-linked list of processes the list head is reachable via the kernproc symbol see Mattieu Suiche's paper . python volafox.py -i MemoryImage.mem -s mach_kernel -o proc_info Memory Image MemoryImage.mem Kernel Image mach_kernel Information proc_info - process list - list_entry_next pid ppid process name username 03290d20 0 0 kernel_task 03290a80 1 0 launchdask n0fate 032902a0 2 1 launchctlk root 032907e0 10 1 kextddask root 03290540 11 1 DirectoryService root 03290000 12 1 notifydask root 0359bd20 13 1 diskarbitrationd root 0359ba80 14 1 configdask root 0359b7e0 15 1 syslogdask root 0359b540 16 1 distnotedk root 0359b000 17 1 mDNSResponder _mdnsresponder 0359b2a0 19 1 securitydk _mdnsresponder 03a5a7e0 24 1 ntpdhdask _mdnsresponder 03bc7d20 26 1 usbmuxdask _usbmuxd 03bc7a80 30 1 mdschdask _mdnsresponder 03bc77e0 31 1 loginwindow n0fate 03bc72a0 32 1 KernelEventAgent _mdnsresponder 03bc7000 34 1 hiddhdask _mdnsresponder 03bdaa80 35 1 fseventsdk _mdnsresponder 03befd20 37 1 dynamic_pager _mdnsresponder 03bef7e0 42 1 autofsdask _mdnsresponder 03a5a2a0 53 1 taskgatedk _usbmuxd 03bdad20 54 1 coreservicesd root 03a5a540 55 1 WindowServer root 03bda540 57 1 vmware-tools-dae _mdnsresponder 03a5a000 74 1 airportdsk _atsserver 03befa80 78 1 coreaudiod _coreaudiod 03bda2a0 79 1 launchdask n0fate 03bef000 83 79 Dockhdask n0fate 03bc7540 84 79 SystemUIServer n0fate 04166d20 85 79 Finderask n0fate 03bef2a0 92 79 fontddask n0fate 041667e0 95 79 pboardask n0fate 04166000 96 79 quicklookd n0fate 044ddd20 99 79 UserEventAgent n0fate 044dd000 100 79 ServerScanner n0fate 044fed20 105 79 AirPort Base Sta n0fate 044dd7e0 106 79 vmware-tools-use n0fate 044dd540 108 79 CCacheServer n0fate 03bda000 110 79 TISwitcher n0fate 0085e758 120 1 backupdask n0fate A process can be selected by its PID in order to display a few more details python volafox.py -i MemoryImage.mem -s mach_kernel -o proc_info -x 120 Memory Image MemoryImage.mem Kernel Image mach_kernel Information proc_info Dump PID 120 - process 120 - list_entry_next pid ppid process name username 0085e758 120 1 backupdask n0fate task_ptr 3bd81f4 vm_map_t 41b2520 prev 46145d8 next 461402c start 100000000 end 7fffffe00000 neutries 3a entries_pageable 1 pmap_t 3bf59f8 page directory pointer 3bf5828 phys.address of dirbase 4705c2400000000 object to pde 1 ref count 1 nx_enabled 2 task_map 0 pm_cr3 0 pm_pdpt 25c00000259 pm_pml4 127df00000000000 Volafox also enumerates lists of kernel extensions and system calls. It will raise a flag if a syscall appears to be hooked.

Les mots clés de la revue de presse pour cet article : memory
Les videos sur SecuObs pour les mots clés : memory
Les éléments de la revue Twitter pour les mots clé : memory



AddThis Social Bookmark Widget



Les derniers articles du site "int for ensic blog " :

- Evtx Parser Version 1.1.1
- DFRWS 2012
- Evtx Parser Version 1.1.0
- Timers and Times
- Evtx Parser Version 1.0.8
- Mac OS X memory analysis with Volafox
- Evtx Parser Version 1.0.7
- Recent Advances in Memory Forensics
- Linking Event Messages and Resource DLLs
- Evtx Parser Version 1.0.1



S'abonner au fil RSS global de la revue de presse
Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]

Si vous voulez bloquer ce service sur vos fils RSS :
 - avec iptables "iptables -A INPUT -s 88.190.17.190 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.190.17.190 to any 80"
- Nous contacter par mail




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :