Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert.
Die PoolTools bestehen aus folgenden Programmen:
- PoolFinder – findet Allokationen des Betriebssystemkerns in Arbeitsspeicherabbildern und auch Auslagerungsdateien (pagefile.sys)
- PoolGrep – findet Zeichenfolgen in den Allokationen
- PoolDump – stellt alle Allokationen einer Klasse als Hexdump dar
Für Ermittlungsbehörden gibt es das Tool PoolView, welches Allokationen übersichtlich darstellt.
PoolFinder kann hier heruntergeladen werden.
Tags: Andreas Schuster, Live Response, PoolFinder, RAM Analyse
Mich würde mal interessieren, inwieweit oder wie oft diese Tools in der täglichen Arbeit verwendet werden.
Haben diese Tools oder ähnliche Tools eine derartige Bedeutung, dass man sie immer “dabei haben” muss, oder sind dies Werkzeuge deren Existenz eher aufgrund von Einzelerfordernissen, Neugier, Forschung, etc. begründet wurde.
Naja, es kommt auf die Fragestellung an. Wenn es um die Analyse von Vorgängen im Hauptspeicher geht und man ein Abbild davon ab, spielen solche Tools in der Analysephase immer stärker eine Rolle.