分类
未分类

内存取证分析

取证工具:取证大师、Volatility

内存镜像格式:dmp、raw

取证大师-工具集-内存镜像解析工具:

进程、服务、文件、动态链接库、网络连接、设备、驱动、Socket、TrueCrypt、BitLocker、微信秘钥。

Volatility:

格式:volatility -f <镜像文件名>  –profile=<配置文件> [插件参数]

查看profile :

(1) volatility -f file.dump kdbgscan

(2) volatility -f file.dump imageinfo

 

Windows系统下CMD界面将结果输出到文本中:

volatility.exe -f Mimage.dmp –profile=Win7SP1x64 filescan >a.txt

 

volshell这个插件用于进入Volatility专属的shell。在该shell中可以利用dt(“内核关键数据结构名称”)命令来查看操作系统内核关键数据结构的定义:

volatility.exe  -f /Mimage.dmp –profile=Win7SP1x64 volshell

 hivelist:使用hivelist列出内存中的注册表。

打印注册表中的数据,使用hivedump:
volatility.exe  -f /Mimage.dmp –profile=Win7SP1x64 hivedump -o 注册表的virtual地址

查看SAM表中有哪些用户:

volatility.exe  -f /Mimage.dmp –profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names”

最后登录系统的账户:

volatility.exe  -f /Mimage.dmp –profile=Win7SP1x64 printkey -K “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

userassist:提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等

memdump 插件可以将内存中的某个进程数据以 dmp 的格式保存出来:

volatility.exe  -f /Mimage.dmp –profile=Win7SP1x64 memdump -p 进程ID >a.dump

cmdscan:内存中保留的 cmd 命令使用情况

netscan:获取网络连接情况

iehistory:获取ie浏览器的使用情况

内存中的系统密码:hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)

timeliner:最大程度将内存中的信息提取出来:

imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

mendump:提取出指定进程,常用foremost 来分离里面的文件

filescan:扫描所有的文件列表

hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容

svcscan:扫描 Windows 的服务

connscan:查看网络连接

shuoed

山东鄄城人士,大学本科读了计算机科学与技术专业,研究生期间读了诉讼法学专业。
计算机领域,算法方面是算是ACM省银水平;编程方面在高校取得过项目比赛的奖励;网络方面考过了计算机等级四级网络工程师;安全方面考过了软考信息安全工程师;学术方面发表了一篇关于密码设置的论文,毕业论文写了X86架构下微内核的设计与实现。
法律领域,学术方面发表了三篇分别关于身份同一认定、不损坏原件原则、跨境取证的论文,写了一篇关于DDoS黑产的硕士论文(投稿中);取证方面参见了三类电子取证比赛,虎鲸杯、中科实数杯、美亚杯等共6次比赛,5次获奖。
目前就职于国内某知名电子取证公司做培训讲师。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注