來源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis
調查人員檢查物理內存內容,以檢測惡意進程、威脅和內存駐留惡意軟件,以恢復密碼和獲取密鑰。
伏筆:rootkit,root代表最高權限,kit表示軟件。合起來,最高權限的軟件。如果存在惡意rootkit,利用它可以運行指令將進程與一些顯示進程列表接口的函數切斷關聯隱藏起來,你在任務管理器里看不見。這東西的危害,不是隨隨便便安裝一個殺毒軟件就可以搞得定的。需要時間徹查,掃描,對比,說白了就是用多方式得到結果,最后玩大家來找茬。要找到它就需要直接從內存的二進制識別出進程,再把它們完整列出來。下面的工具Volatility就是這么干的。
基於python的開源工具包volatile Framework能夠從Windows和Linux UNIX內存鏡像中提取信息。volatile框架支持各種插件,包括PS列表(進程列表)、PS掃描(進程掃描)、DLL列表、模塊、conn掃描、hive列表等,允許我們提取進程、威脅、注冊表、網絡連接和許多關鍵信息。
就功能而言,谷歌的開源Rekall內存取證框架與volatile框架非常相似。谷歌的還可以提取內存鏡像,volatile無此功能,需要其他工具先把內存提好。
PS list和PS scan顯示的輸出之間的任何差異都可能表明rootkit可能安裝在可疑機器上。
Volatility內存分析演示
之前的文章說過AccessData的FTK Imager可以把內存dump出來。如果您運行的是虛擬機,那么 .vmem文件包含虛擬機主內存的副本。
SANS調查取證工具包已經安裝了volatile
which vol.py 這是Volatility的路徑 -h 看看插件的信息
提取出來的內存用的什么操作系統,什么時候提的 vol.py –f 文件路徑 imageinfo
現在,在默認情況下,Volatility Framework將image作為WinXP SP 286來處理,如果是這樣的話,我們就不需要提供image profile,如果運行的是其他插件,它會抱怨我不知道這個profile是什么。然后,您必須提供一個配置文件。加到上述命令后,什么命令怎么加都在它的幫助信息里,遇到了自行翻閱。
列出所有進程 這和windows任務管理器的結果差不多 進程如果被隱藏,將看不見它
將掃描的結果與列出的結果對比。有時rootkits隱藏在svchost.exe中
看一下連接的網絡
發現與IP地址80端口有連接,一般情況,用戶是不會去配置瀏覽器的,所以80代表瀏覽器。但是你怎么確定它對不對?有沒有問題?這個時候,我們觀察PID,去掃描出來的進程里面找發現它有問題。正常情況是打開瀏覽器,瀏覽器使用80端口。但這里對應的卻是svchost.exe這個進程,非常可疑。這是Windows系統文件,但很多rootkits實際上隱藏在svchosts下。
這個可疑的進程,對應的IP地址,可以結合前面沒的文件作為關鍵詞來搜索,也可以用在線工具搜下這個IP是否被列入黑名單:IPVoid VirusTotal Shodan這三個在線工具
如果你是第一個發現此可疑IP的人,在線工具肯定搜不到。
還有其他的功能,比如查看注冊表啟動項,找到任何隱藏或注入的DLL。喜歡的自己去幫助里面找到它們,每個插件的工具功能是什么,你就可以玩弄內存了。