BEGIN:VCALENDAR VERSION:2.0 PRODID:-//TUC//Events//EN CALSCALE:GREGORIAN BEGIN:VTIMEZONE TZID:Europe/Athens TZNAME:EEST DTSTART:19700329T030000 RRULE:FREQ=YEARLY;BYDAY=-1SU;BYMONTH=3 BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0300 TZNAME:EET DTSTART:19701025T040000 RRULE:FREQ=YEARLY;BYDAY=-1SU;BYMONTH=10 END:STANDARD END:VTIMEZONE BEGIN:VEVENT CREATED:20250716T145605Z LAST-MODIFIED:20250716T145605Z DTSTAMP:20260612T022136Z UID:1781220096@tuc.gr SUMMARY:Παρουσίαση Διπλωματικής Εργασίας κ. Οδυσσέα Σταύρου - Σχολή ΗΜΜΥ LOCATION: DESCRIPTION:https://www.tuc.gr/el/to-polytechnei o/ilektronikes-ypiresies/imerologio/ imerologio-ekdiloseon-1?tx_tucevents 2_tuceventsdisplay%5Baction%5D=show& tx_tucevents2_tuceventsdisplay%5Bcon troller%5D=Event&tx_tucevents2_tucev entsdisplay%5Bevent%5D=7954&cHash=38 363d852ba6c2b9151ab07c6ba7cf51\nΠΟΛΥ ΤΕΧΝΕΙΟ ΚΡΗΤΗΣ\n Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών\ n Πρόγραμμα Προπτυχιακών Σπουδών\n Π ΑΡΟΥΣΙΑΣΗ ΔΙΠΛΩΜΑΤΙΚΗΣ ΕΡΓΑΣΙΑΣ\n Οδ υσσέα Σταύρου\n με θέμα\n Από memmap στο minidump: Ανάπτυξη Επέκτασης Vo latility για τη Διευκόλυνση Ανάλυσης Μνήμης ανά Διεργασία\n From memmap to minidump; Creating a Volatility P lugin to Facilitate per-process Memo ry Analysis\n Εξεταστική Επιτροπή\n Καθηγητής Σωτήριος Ιωαννίδης (επιβλέ πων)\n Αναπληρωτής Καθηγητής Βασίλει ος Σαμολαδάς\n Associate Professor D avide Maiorca (University of Cagliar i)\n Περίληψη\n Το Volatility αποτελ εί το πιο προηγμένο εργαλείο ανάλυση ς μνήμης στην κατηγορία του. Μπορεί αποτελεσματικά να αναλύσει στιγμιότυ πα μνήμης από Windows, Linux και Mac . Ωστόσο, το Volatility ασχολείται ρ ητά με τη μνήμη, επιτρέποντας την εξ ερεύνηση δομών χαμηλού επιπέδου και την πρόσβαση σε οποιαδήποτε έγκυρη δ ιεύθυνση φυσικής ή εικονικής μνήμης, είτε στον χώρο του πυρήνα είτε του χρήστη. Τι συμβαίνει όμως όταν θέλου με να διερευνήσουμε μνήμη υψηλότερου επιπέδου, όπως για παράδειγμα αντικ είμενα σε μια διεργασία που θεωρείτα ι ύποπτη ως πράκτορας Command and Co ntrol (C2/CnC); ΄Η όταν μια ομάδα επ ιθετικού ελέγχου (red team) θέλει να εξαγάγει ευαίσθητα δεδομένα από μια συγκεκριμένη διεργασία; Πώς μπορούμ ε από ένα πλήρες στιγμιότυπο μνήμης των Windows να δημιουργήσουμε ένα απ ομονωμένο και «φιλικό προς τον χρήστ η» Minidump που να μπορεί να χρησιμο ποιηθεί από ήδη διαθέσιμα εργαλεία ( όπως WinDBG, mimikatz, και κυρίως τι ς επεκτάσεις τους) για την ανάλυση μ ιας μεμονωμένης διεργασίας; Η παρούσ α εργασία αξιοποιεί υπάρχουσα έρευνα για τη δημιουργία μίας επέκτασης (p lugin) στο Volatility που μπορεί να εξάγει και να αναδιαμορφώσει τη μνήμ η μιας διεργασίας σε ένα στιγμιότυπο Minidump. Η προσέγγιση αυτή εκμεταλ λεύεται την υψηλή αρθρωτότητα και επ εκτασιμότητα του Volatility, και εξη γεί πώς, μέσω πρόσβασης σε αδιαφανεί ς δομές (όπως _EPROCESS, _ETHREAD), μπορούμε να παράγουμε Minidumps κατά λληλα για ανάλυση.\n Abstract \n The Volatility Framework is the most ad vanced memory analysis framework in its category out there. It can effec tively analyse Windows, Linux, and M ac memory snapshots. However, Volati lity deals explicitly with and in me mory. It will give you a view into t he memory snapshot for you to explor e the low-level system structures an d venture at any (valid) address of any process, physical or virtual, ei ther in kernel-land or user-land. Bu t what happens if we want to explore a slightly higher level of memory, such as the Objects in a process sus pected of being a Command and Contro l (C2/CnC) agent, or a red-teamer ex tracting secrets from a specific pro cess? How do we go from a whole Wind ows memory snapshot into an isolated "user-friendly" Minidump that we ca n use with already made tools (WinDB G, mimikatz, and most notably their plugins) to analyse a single process ? This work leverages some pre-exist ing research in an attempt to create a Volatility plugin that can extrac t and restructure a Process’ memory into a Minidump snapshot taking adva ntage of Volatility’s highly modular , and pluggable tooling and in the p rocess, outlining how given access t o the opaque structures (_EPROCESS,_ ETHREAD, etc.) one can generate anal ysable Minidumps.\n STATUS:CONFIRMED ORGANIZER;RSVP=FALSE;CN=TUC;CUTYPE=TUC:mailto:webmaster@tuc.gr DTSTART:20250721T120000 DTEND:20250721T130000 TRANSP:OPAQUE CLASS:DEFAULT END:VEVENT END:VCALENDAR