是否存在动态分析内存的问题？

Question

我通过使用内存取证来收集更多有用的信息来进行恶意软件分析，但据我所知，内存获取的结果只是在特定时间内转储了一个内存(快照)。那么，是否有任何方法或解决方案可以动态地获取或分析包括更改在内的内存？

Answer 1

如果您碰巧使用了像IDAPro这样的工具，您可以调试恶意软件，检查内存和寄存器的内容。

• 当到达任何预选的调试断点时
• 每条指令

正如这里提到的(https://www.hex-rays.com/products/ida/support/idadoc/1470.shtml)，您可以在处于挂起状态时(在断点等待)使用IDAPro来拍摄快照。

因此，基本上，在每次指令之后，您将动态地看到内存的内容变化。

Answer 2

我刚碰到一个DARPA项目，它似乎就是你要找的东西。特别是基于python的工具内存中恶意软件的差异分析(DAMM)通过504 504 504ENSICS实验室

免责声明，我没用过。