数字取证技术 :Windows内存信息提取
数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。
大致想了一下,主要会从以下几个方面逐一介绍吧:
- 内存
- 硬盘镜像
- 网络
- Timeline利用
- 威胁情报在取证中的作用等
0×01 windows内存取证
取证的时候为什么要做内存分析?因为在内存里面可以看到操作系统在做的几乎所有的事情。当内存块不被覆盖的情况下,很多历史信息同样被保留。主要有:
- 进程和线程
- 恶意软件,包括rootkit技术
- 网络socket,URL,IP地址等
- 被打开的文件
- 用户生成的密码,cache,剪贴板等
- 加密键值
- 硬件和软件的配置信息
- 操作系统的事件日志和注册表
有了以上这些信息,我们可以找出更多有用的信息,在本文章中, 我们就以找出系统的历史CMD命令行为例。
0×02内存的获取
基本上,都是通过工具,或者已经由系统生成的dump文件来获取其信息。当然,在虚拟环境下, 也可以通过虚拟机的镜像文件,或者快照文件获取内存信息。
0×03 内存镜像的分析
我们以Redline工具为例, 来分析一下当前内存的信息。
首先,Redline可以直接收集当前的内存信息。 也可以利用威胁情报(IoC)来搜索当前的内存信息。这里就不多介绍。
我们直接打开已经获取到的内存镜像文件:sobig.img
注意,因为本文章要获取系统的历史CMD命令, 所以需要修改一下默认分析脚本: 打开Strings参数。
完全打开之后,我们可以看到很多信息:
1. 进程和各个进程之间的父子关系。
2. 每个进程参数
3. Redline自带打分功能MRI,给每个进程打分。 恶意进程的MRI会很高,标记为红色。
4. 加载的驱动
5. Hooks
6. 根据时间生成timeline。 这个在做安全应急响应分析的时候非常重要。
图上红色的就是恶意进程。
0×04获取历史CMD命令
在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
所以在这个例子中,我们可以看csrss.exe进程的具体信息
然后再选在我们之前打开的Strings参数。我们可以看到这个进程在运行过程中,一些调用的函数名称等字符。 类似通过BinText来查看一个二进制文件一样。
再通过过滤器来提取所有cmd.exe的信息, 我们就能看到, 计算机在运行的过程中所有执行过的CMD命令。
0×05总结
通过以上小例子,我们可以从内存信息里面提取一些重要的证据。如果当黑客已经攻破了内网一台主机(C&C已经建立),大多都会使用系统自带的命令来收集更多的信息,或者进一步侵入内网其他主机。使用CMD的好处是容易隐藏自己的行为。因此,这种情况下我们可以通过类似上述手段,找到更多黑客的踪迹。
当然, 这里介绍的Redline只是其中的一个工具。 类似还有非常流行的Volatility等。在后面的文章中会有更多的介绍。
数字取证技术 :Windows内存信息提取相关推荐
- 浅谈电子数字取证技术
笔者<Qftm>原文发布:https://www.freebuf.com/articles/network/211643.html 转载于:https://www.cnblogs.com/ ...
- 【转载】什么是数字取证(Digital forensics)?
数字取证定义 数字取证(Digital forensics),有时也称作"计算机取证",是将科学调查技术应用于数字犯罪和攻击领域的一门学问.它是法律和商业在互联网时代的一个重要体现 ...
- android手机数字取证,基于Android智能终端微信应用的数字取证分析模型的研究
第 42卷 第 10A期 2015年 10月 计 算 机 科 学 Computer Science Vo1.42 No.10A Oct 2015 基于 Android智能终端微信应用的数字取证分析模型 ...
- Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内 ...
- kali 安装volatility_kali对Windows内存在线取证
kali对Windows的内存取证 在kali系统上,有VOLATILITY等工具,可以方便的完成内存镜像取证等工作,如何将Windows系统内存镜像数据给VOLATILITY分析呢?除了通过Dump ...
- 网络安全应急响应-电子数据取证技术
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现
摘要: 随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员 ...
- kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...
- 数字取证及其检测工具介绍
分享一下我老师大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow 数字取证及其检测工 ...
最新文章
- 解析C语言中的sizeof
- linux某个目录环境变量,在linux下加环境变量或者是把某个目录加到环境变量
- Python库引用import多种用法及比较
- R开发(part11)--基于S4的面向对象编程
- 代码设置Shape和Selector
- c语言爬虫和python爬虫_为什么写爬虫都喜欢用python?
- xampp测试phpmyadmin_项目管理工具“禅道”在软件测试实验教学中的应用
- k310.4安装客户端提示self-registration error
- 数仓OLAP(一)--即席查询 Kylin
- 分析光固化3D打印的优势
- discuz模板介绍
- 【ybt金牌导航1-4-3】【luogu P2627】修剪草坪 / Mowing the Lawn G
- 我们仍处于本轮牛市之中
- wordpress 数据库_在WordPress中使用数据库
- matlab中rand(‘seed‘,任意符号)是干什么的?
- MTK平台camera小结(一)
- 感谢邪恶八进制信息安全团队的祝福
- 基于Doc2vec训练句子向量
- 计算机大学生英语自我介绍ppt,计算机专业英文自我介绍的范文
- node调用ffmpeg转流