Очень часто злоумышленники используют упаковщики и обфускаторы для сокрытия вредоносного кода. Это позволяет им избежать обнаружения средствами статического анализа и повышает шансы незаметного распространения по корпоративной среде. Но после начала исполнения кода, прежде чем выполнить заложенное в него действие, вредоносное ПО принимает первоначальную форму, которая никак не усложнена для анализа. В этот момент важно уметь сохранять «распакованные» участки памяти для дальнейшего исследования.

На вебинаре расскажут, каким образом PT Sandbox получает снимки памяти при выполнении образца. Расскажут о системе для динамического анализа DRAKVUF: разберут принцип работы плагинов memdump и procdump.