<div dir="ltr">The tool the IH used in this instance was Cyber Marshal&#39;s wmr (<a href="http://cybermarshal.com/index.php/cyber-marshal-utilities/windows-memory-reader">http://cybermarshal.com/index.php/cyber-marshal-utilities/windows-memory-reader</a>).<div>

<br></div><div style>I&#39;ve looked at dumps created by this tool in the past and this type of output/behavior wasn&#39;t observed.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jun 7, 2013 at 12:51 PM, Jesse Bowling <span dir="ltr">&lt;<a href="mailto:jessebowling@gmail.com" target="_blank">jessebowling@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I&#39;ve had bad memory captures look a bit like this...Can you share what tool was used to collect the memory image?<br>

<br>Cheers,<br><br>Jesse<br></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">
On Fri, Jun 7, 2013 at 12:04 PM, Glenn Edwards <span dir="ltr">&lt;<a href="mailto:hiddenillusion@gmail.com" target="_blank">hiddenillusion@gmail.com</a>&gt;</span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div><div class="h5">
<div dir="ltr">Background: The user logged off (I know, I know) of the system (WinXP) and the first responder logged back in under a different user and took the memory dump.<div><br></div><div>When running pslist against the memory dump there&#39;re 2,423 entries.  I&#39;m seeing a lot of entries where the process starts and exits - sometimes in a row:</div>




<div><br></div><div><div>0x89b3f868 userinit.exe           3808    548      0 --------      0      0 2013-05-26 10:00:10 UTC+0000   2013-05-26 10:00:10 UTC+0000  </div><div>0x89b89ad0 userinit.exe           3156    548      0 --------      0      0 2013-05-26 10:00:28 UTC+0000   2013-05-26 10:00:28 UTC+0000  </div>




<div>0x89b2a868 userinit.exe           3672    548      0 --------      0      0 2013-05-26 11:30:11 UTC+0000   2013-05-26 11:30:11 UTC+0000  </div><div>0x89afc020 userinit.exe           3388    548      0 --------      0      0 2013-05-26 12:41:44 UTC+0000   2013-05-26 12:41:44 UTC+0000  </div>




<div>0x89b49da0 userinit.exe           1336    548      0 --------      0      0 2013-05-26 13:22:13 UTC+0000   2013-05-26 13:22:13 UTC+0000  </div></div><div><br></div><div>and sometimes more spread out:</div><div>

<br></div><div><div>0x89c1da98 java.exe               4536   1368      0 --------      0      0 2013-06-01 01:23:35 UTC+0000   2013-06-01 01:26:15 UTC+0000  </div><div>0x89141020 cscript.exe            8608   4536      0 --------      0      0 2013-06-01 01:24:12 UTC+0000   2013-06-01 01:24:14 UTC+0000  </div>




<div>0x89142da0 wmiprvse.exe           3152    832      0 --------      0      0 2013-06-01 01:24:12 UTC+0000   2013-06-01 01:25:42 UTC+0000  </div><div>0x89144ac0 minituner.exe          1120   1368      0 --------      0      0 2013-06-01 01:26:15 UTC+0000   2013-06-01 01:37:41 UTC+0000  </div>




<div>0x8934d520 java.exe               9148   1368      0 --------      0      0 2013-06-01 01:37:41 UTC+0000   2013-06-01 01:43:54 UTC+0000  </div><div>0x8934e020 cscript.exe            7620   9148      0 --------      0      0 2013-06-01 01:42:51 UTC+0000   2013-06-01 01:42:53 UTC+0000  </div>




<div>0x895423b8 wmiprvse.exe           3664    832      0 --------      0      0 2013-06-01 01:42:51 UTC+0000   2013-06-01 01:44:21 UTC+0000  </div><div>0x895ce8a0 minituner.exe          9940   1368      0 --------      0      0 2013-06-01 01:43:54 UTC+0000   2013-06-01 01:51:47 UTC+0000  </div>




<div>0x893a3838 java.exe               4572   1368      0 --------      0      0 2013-06-01 01:51:47 UTC+0000   2013-06-01 01:59:58 UTC+0000  </div><div><br></div></div><div>Example of top processes by overall count of occurrence:</div>




<div><br></div><div><div>$ cat pslist.txt | awk &#39;{print $2}&#39; | sort | uniq -c | sort -nr</div><div>    364 java.exe</div><div>    362 minituner.exe</div><div>    335 userinit.exe</div><div>    301 wmiprvse.exe</div>




<div>    219 cscript.exe</div><div>    192 verclsid.exe</div><div>     91 wuauclt.exe</div><div>     37 regsvr32.exe</div><div>     34 winlogon.exe</div><div>     34 csrss.exe</div><div>[snip]</div>
<div><br></div><div><br></div><div>I&#39;ve never come across this before so I&#39;m wondering if this could be attributed to the first responder not letting the system fully log them on prior to taking the memory dump and therefore there was a lot of still loading processes observed?</div>


<span><font color="#888888">

<div><br></div>-- <br><div style="text-align:left">Glenn Edwards<br>@hiddenillusion<br></div>
</font></span></div></div>
<br></div></div>_______________________________________________<br>
Vol-users mailing list<br>
<a href="mailto:Vol-users@volatilityfoundation.org" target="_blank">Vol-users@volatilityfoundation.org</a><br>
<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a><br>
<br></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><br>-- <br>Jesse Bowling<br><br>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div style="text-align:left">Glenn Edwards<br>@hiddenillusion<br></div>
</div>