 Ik heb hier een procesdump van de Dier Banking Malware en ik wil je laten zien hoe je de configuratie van de memorie kan uitstekken. Dus laten we eens kijken op de strens. En hier heb je de start van de configuratie. Deze zijn de servers die worden gebruikt door de Banking Trojan voor mensen in de middling. En dan hier volgende lokale itemen. Zoals dit. Je kunt zien alle online banken die het gevolg zijn. Dus we hebben een item hier voor Bank of America, een voor Citi Bank, een voor NatWest en zo. Dus wat ik nu wil doen is om deze memorie dump te uitstekken deze domainen. En ik ga mijn nieuwe tool gebruiken. Een rechercheer voor dat. Een rechercheer is zoals grep. Vergeet dat niet van selectende lijnen, het zal selecten met een veel regulare expressie. Dus het is zoals grep minus 0. Dus ik ga de memorie dump uitstekken. Nu, het rechercheer werkt soms zoals andere text- en command-lijn tools. Het werkt op text files lijn by lijn. Maar hier hebben we een binary file. De memorie dump. Dus we gaan deze file in één goom, niet lijn by lijn. En we doen dat met option minus f voor een volledig read. Dus hier typ ik een regulare expressie om het element L-item te selecten. Zoals dit. En nu ga ik de regulare expressie modificeren om het white space te ontdekken. Dus de rechercheer en nieuwe linefeeds volgende L-item. Zoals dit. En nu weten we dat, na het L-item, we de domainname hebben. Dus ik ga een regulare expressie typen om de domainname te selecten. Dus de domainname kan letters zijn, a to z, nummers van 0 tot 9. Het kan een dot zijn, een underscore. Hier kan er ook een asterisk zijn. En dan eindelijk een dash. En dit set van characters kan gebeuren meer dan een keer. En je ziet, nu hebben we L-item en de verschillende domain. Nu, we willen alleen de domain, niet de L-item. En dit kan je doen door groepen te gebruiken. Dus als je een groep voor de domain, zoals dit hier, voor de domainname, dan zal de rechercheer alleen voor de domainname uitvoeren. En het zal niet uitvoeren op het L-item, zoals dit. Dus hier hebben we alle domainname. Als we ze niet kunnen, hebben we 1.632 domainname, maar die zijn niet allemaal uniek. En met option minus u, minus u hier, dan kun je dit uniek maken, zoals dit. Dus we hebben 683 unieke domainname, zoals dit. Je kunt ze natuurlijk zorten, zoals dit. Maar dan zijn ze zorten. Dat is normaal, dus het is niet heel gebruik voor domainname om te worden zorten, zoals normaal. Het is beter dat ze vooral zorten door de topdomain, de topleveldomain, dan de domain en dan de subdomain en zo. En dat is iets wat we kunnen doen met een andere tool. De zortkannen. En we specifiek dat we willen zorten voor domainname, zoals dit. Nu kun je hier zien, UK en Zuid-Afrika als de laatste domainname.