內存取證學習

 

這次Hgame在week3出了一個關於內存取證的題目，毫無取證基礎的我有些懵，於是開始了學習。

內存取證是什么

通常指對計算機中臨時數據進行獲取與分析，提取有價值的數據，達到想要達到的目的。

取證工具

工具有好多，例如volatility、取證大師、PTF等等，在這里將主要介紹神器volatility的安裝以及使用方法。

volatility

volatility的安裝

查閱資料得知，老版本kali似乎自帶volatility，而新版本沒有了，所以在這里教大家如何在新版本kali下安裝volatility。

首先去這個網站下載一份最新版的Linux版volatility

 下載完成后放入kali文件系統的/usr/local中（要root權限）。當然，為了方便使用，也可以把這一整個文件夾和可執行文件的名稱都改為自己想要的名稱，我就直接改成了volatility，接下來就是配置環境變量。

配置環境變量這里也很容易，我是修改了environment文件：

先在終端中輸入vim /etc/environment

然后在“PATH=”那一行里添加:/usr/local/volatility

最后，重啟虛擬機，就可以看到volatility已經可以正常使用啦！

 

 

volatility的基本命令

就拿Hgame里week3的題目《卡中毒》來講講volatility的基本命令吧，正好可以講講這題的做法。

imageinfo

這個指令可以顯示目標鏡像的摘要信息，這常常是第一步，獲取內存的操作系統類型及版本，之后可以在 –profile 中帶上對應的操作系統，后續操作都要帶上這一參數

volatility -f ACTUE.raw imageinfo

輸入這串代碼后稍等片刻即可看到結果

 在這里一般選用第一個，因此得知這個鏡像的系統是Win7SP1x64

pslist

該插件列舉出系統進程，但它不能檢測到隱藏或者解鏈的進程

volatility -f ACTUE.raw --profile=Win7SP1x64 pslist

當然，進程很多，所以我們要從中尋找可疑進程，例如notepad.exe mspaint.exe iexplore.exe DumpIt.exe等等，然后使用指令將其提取出來做進一步分析。

iehistory

因為題目提到了上網，所以應該看看瀏覽器記錄,使用iehistory就可以查看ie瀏覽器的歷史記錄

volatility -f ACTUE.raw --profile=Win7SP1x64 iehistory

 發現了兩個7z壓縮包，於是下一步應該是在系統里尋找這壓縮包。

filescan

volatility -f ACTUE.raw --profile=Win7SP1x64 filescan

這個指令可以將鏡像中的文件展示出來。當然，文件很多，就拿這題為例，可以使用這條指令找出含flag字段的文件

volatility -f ACTUE.raw --profile=Win7SP1x64 filescan |grep flag

 在這題中，發現了好幾個文件含flag，於是我們使用dumpfiles指令將其dump下來

volatility -f ACTUE.raw --profile=Win7SP1x64 dumpfiles -Q [需要dump的文件的偏移量] -D [保存路徑]

在這里我們dump下第二個，保存在默認的路徑

volatility -f ACTUE.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007eccc900 -D ./

操作完之后就可以看到文件在桌面上啦

 (既然講到這里了,那就把題目講完)

打開這兩個文件后會發現里面有一個文件叫做flag.txt.txt.WannaRen，上網查詢后發現這是勒索病毒，這也就是題目里所說的中毒的含義。使用火絨開發的勒索病毒解密軟件解密后就可以看到正常的flag.txt.txt。打開后發現是新佛曰加密，使用在線網站即可得到flag

(這個題目告訴我們不要瀏覽奇怪的網頁)

 

 

其他指令

還有好多其他指令在這里沒有用到，就不再詳細說了，在這里簡單帶過（並不是說這些不重要）

pstree：以樹的形式查看進程列表，和pslist一樣，也無法檢測隱藏或解鏈的進程

psscan：可以找到先前已終止(不活動)的進程以及被rootkit隱藏或解鏈的進程

cmdscan：可用於查看終端記錄

notepad：查看當前展示的 notepad 文本（低版本可以，win7的不行，高版本可以嘗試使用editbox）

mendump：提取出指定進程，常用foremost 來分離里面的文件,需要指定進程-p [pid] 和保存路徑 -D

editbox：顯示有關編輯控件（曾經編輯過的內容）的信息

screenshot：保存基於GDI窗口的偽截屏

clipboard：查看剪貼板信息

systeminfo：顯示關於計算機及其操作系統的詳細配置信息（插件）

hashdump：查看當前操作系統中的 password hash，例如 Windows 的 SAM 文件內容(mimikatz插件可以獲取系統明文密碼)

mftparser：恢復被刪除的文件

svcscan：掃描 Windows 的服務

connscan：查看網絡連接

envars：查看環境變量

dlllist: 列出某一進程加載的所有dll文件

hivelist: 列出所有的注冊表項及其虛擬地址和物理地址

timeliner: 將所有操作系統事件以時間線的方式展開

小結

內存取證現在也是一個熱門的點，還得多多學習啊！