沙漏安全团队
欢迎真正热爱技术的你!
作为一种实时提取数字证据、对抗网络攻击、打击网络犯罪的有力武器,内存取证已成为信息安全领域研究者所共同关注的热点。
基于硬件的内存获取内存的获取方法:
-
基于软件的内存获取
Windows操作系统平台支持内存获取的常见工具有:
DumpIt (早期版本名为Win32dd)
Belkasoft RAMCapturer
Magnet RAM Capture
WinEn
Winpmem
EnCase Imager
FTK Imager
取证大师
取证神探Linux操作系统常见的内存获取工具:
dd (适合Linux早期版本)
LiME http://code.google.com/p/lime-forensics/
linpmem
Draugr http://code.google.com/p/draugr/
Volatilitux http://code.google.com/p/volatilitux/
Memfetch http://lcamtuf.coredump.cx/
MemdumpMacOSX操作系统内存获取工具有:
MacMemoryReader
osxpmem
Recon for Mac OSX
Blackbag MacQuisitio得到内存之后就是最重要的一步,就是内存取证分析。
内存分析技术
Windows操作系统获取出的物理内存镜像需要使用专门的内存分析工具。常见的内存分析工具有Volatility、Rekall、Forensic Toolkit(FTK)、取证大师及取证神探等,可以解析出常见的基本信息,包括进程信息、网络连接、加载的DLL文件及注册表加载信息等。
在这里笔者使用的是volalitity取证工具(新版本的kail好像已经没有这个软件,需要自行下载)
常用插件:
imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
mendump:提取出指定进程,常用foremost 来分离里面的文件
filescan:扫描所有的文件列表
hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容
svcscan:扫描 Windows 的服务
connscan:查看网络连接
Volatility语法规则
python2 vol.py --help //使用-h或者–help可以列举出所有可用的选项以及插件
python2 vol.py --info //–info可以打印出所有已经注册的对象(插件)
Profiles对于windows的内存取证来说至关重要。
Profiles(配置文件)
profile是特定操作系统版本以及硬件体系结构(x86,x64,ARM)中VTypes,共用体,对象类型的集合.除了这些组件以外,profile还包括如下:
元数据:操作系统的名称(例如:”windows”,”mac”,”linux”),内核版本,以及编译号.
系统调用信息:索引以及系统调用的名称
常量值:全局变量-在某些操作系统中能够在硬编码的地址处找到的全局变量
系统映射:关键全局变量和函数的地址(仅限Linux和Mac)
每个profile(配置文件)有个一个唯一的名称,通常是由操作系统的名称,版本,服务包,系统结构等信息组成.例如:Win7SP1x64是64位的Windows 7 SP1系统配置文件的名称。
常规命令格式
python2 vol.py -f <文件名> --profile=<配置文件> <插件> [插件参数]栗子:
python vol.py -f lemon.raw --profile=Win7SP1x86 volshell
但是--profile如何确定配置文件呢?
如果我们不指定–profile这个选项的话,默认这个选项为WinXPSP2x86.
我们可以使用imageinfo插件来猜测dump文件的profile值.
python2 vol.py -f lemon.raw imageinfo
我们可以注意到这里有多个profile值可选.因为这些操作系统的很多特性都是类似的.imageinfo这个插件猜测profile值的功能是基于kdbgscan这个插件的功能来实现的.而kdbgscan这个插件是通过查找分析内核调试器数据块(_KDDEBUGGER_DATA64)的特征来猜测profile值的。
调试器数据结构位于NT内核模块中(nt!KdDebuggerDataBlock).它包含一个编译字符串,比如:3790.srv03_sp2_rtm.070216-1710,数字值指明了目标操作系统的主,次版本号以及服务包号。
kdbgscan插件扫描dump文件的profile值
可以看到有多个结果,通常来说第一个结果是正确的.imageinfo,kdbgscan这两个插件仅适用于Windows系统的内存dump文件.而Linux,Mac确定正确的profile值有其他的方法.
现在我们就可以指定profile这个选项的值了.
python2 vol.py -f 1emon.raw --profile=Win7SP1x86_23418
volshell
volshell这个插件用于进入Volatility专属的shell.在该shell中可以利用dt(“内核关键数据结构名称”)命令来查看操作系统内核关键数据结构的定义
列举进程
python2 vol.py -f 1emon.raw --profile=Win7SP1x86_23418
pslist
开始时间进程数,占用进程名称.但是pslist这个命令无法显示出隐藏的进程。
| 查看当前显示的notepad文本 | python2 vol.py -f file.raw --profile=WinXPSP2x86 notepad |
| 进程里面可能会隐藏flag等关键信息,可以使用以下命令查看dump | strings -e l 252.dmp | grep flag -e的参数为编码方式,其中l为16-bit编码 |
| 扫描所有的文件列表(常常结合grep) | python2 vol.py -f file.raw --profile=WinXPSP2x86 filescan |
| 根据offset提取出文件 | python2 vol.py -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x….. |
| 扫描 Windows 的服务 | python2 vol.py -f file.raw --profile=WinXPSP2x86 svcscan |
| 查看网络连接 | python2 vol.py -f file.raw --profile=WinXPSP2x86 connscan |
| 查看命令行上的操作 | python2 vol.py -f file.raw --profile=WinXPSP2x86 cmdscan |
| 根据pid dump出相应的进程 | python2 vol.py -f file.raw --profile=WinXPSP2x86 memdump -p 2580 -D 目录 //-p的参数为进程ID-D的参数为保存文件的路径 |
| 查看网络通讯连接 | python2 vol.py -f file.raw --profile=WinXPSP2x86 netscan |
| 查看最后关机时间 | python2 vol.py -f file.raw --profile=WinXPSP2x86 shutdowntime |
| 查看Windows帐户hash | python2 vol.py -f file.raw --profile=WinXPSP2x86 hashdump |
进程里面可能会隐藏flag等关键信息,可以使用以下命令查看dump
strings -e l 252.dmp | grep flag //-e的参数为编码方式,其中l为16-bit编码
列举注册表
volatility -f 1.raw --profile=Win7SP1x86 hivelist
导出注册表volatility -f 1.raw --profile=Win7SP1x86 hivedump -o 0x93fc41e8(注册表的 virtual 地址)
获取浏览器浏览历史
volatility -f 1.raw --profile=Win7SP1x86 iehistory
扫描文件
volatility -f 1.raw --profile=Win7SP1x86 filescan | grep flag //filescan会扫描内存中所有文件
如果要提取的话,使用dumpfiles提取文件volatility -f 1.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000003e71e608 --dump-dir=./
-Q的参数为 内存地址
--dump-dir的参数为导出文件的目录
列举用户及密码
volatility -f 1.raw --profile=Win7SP1x86 printkey -K "SAMDomainsAccountUsersNames"
获取最后登陆系统的用户
volatility -f 1.raw --profile=Win7SP1x86 printkey -K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"
上面的命令就不详细的操作了。
下面开始做一些题,以练促学。
V&N 2020 公开赛 内存取证
下载raw文件,拉进kail
得到镜像信息。
查看进程
有几个可疑的进程
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x83c0ad40 TrueCrypt.exe 3364 3188 7 388 1 0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe 3552 1964 2 61 1 0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe 3640 1964 16 468 1 0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe 3696 3640 25 610 1 0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe 2648 1964 18 383 1 0 2020-02-18 19:54:01 UTC+0000
0x83922030 DumpIt.exe 1500 1964 2 39 1 0 2020-02-18 19:56:22 UTC+0000
TrueCrypt 一个磁盘软件
notepad 万能的记事本
iexplore 浏览器
mspaint 画图
DumpIt 内存读取工具
python2 vol.py -f mem.raw --profile=Win7SP1x64 memdump -p 2648 -D ./换个思维想,谁又会无端打开画图工具,我们先把可疑的进程都dump下来。
又查看了浏览器的历史记录
得到一个云盘链接,应该是那个VOL的下载链接吧!
在前面我们讲画图程序dump下来了,改一下后缀2648.dmp为2648.data。
然后用gimp配合使用。
得到一个字符串1YxfCQ6goYBD6Q
然后用命令对记事本的内容进行dump
python2 vol.py -f mem.raw --profile=Win7SP1x86_23418 editbox
得到了云盘链接和提取码,下载是个VOL文件。
接下来用工具EFDD
访问F盘
得到了一串字符。
下一步就是使用TrueCrypt
将刚刚key里的字符串输入进去,挂载成功。
画图得到的字符串就是密码
得到了flag。、
不得不说套娃真的是服了。
easy_dump
查看一下信息。
列出进程。
查看一下有没有可疑的进程,然后dump下来。
这里我将记事本dump下来。
python2 vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./然后再用命令:strings -e l 2616.dmp | grep "flag"
去2616里找flag。
flag没有但是有奇怪的照片。
python2 vol.py -f easy_dump.img --profile=Win7SP1x64 filescan | grep "jpg"去找jpg图片
使用命令:python2 vol.py -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./
将图片dump下载过来。
打开也没什么东西。
binwalk看一下发现里面还有一个zip文件。
那麽就用foremost将其分离出来。
分离出来还是打不开。
再次使用foremost却没有成功,试了一下binwalk分离,成功的得到了hints.txt文件。
类似于坐标。
import matplotlib.pyplot as plt
import numpy as np
x = []
y = []
with open('hint.txt','r') as f:
datas = f.readlines()
for data in datas:
arr = data.split(' ')
x.append(int(arr[0]))
y.append(int(arr[1]))
plt.plot(x,y,'ks',ms=1)
plt.show()脚本转换。
手机扫了以下,主要内容key:aeolus,但是他把加密文件删除了。
这里使用testdisk这个工具(kali自带)来恢复被删除的文件。
输入:testdisk xxx 即可进入软件内部操作
Proceed:继续
Quit:退出,关闭
[ Analyse ] 分析正确的分区结构并找到丢失的分区表
[ Advanced ] 文件系统工具
[ Geometry ] 更改硬盘类型
[ Options ] 修改高级选项
[ Quit ] 返回到硬盘检测
[ Type ] :改变文件系统的类型,这种修改并不会真正改变硬盘上的真正格式。
[Superblock] :列出超级块,这是文件系统的基本元数据。
[ List ] :列出所有文件,并复制(恢复)出来
[Image Creation] :对当前分区创建镜像文件
[ Quit ]:退出,返回
红色文件就表示已经删除的文件。当然你也可以选择一个红色的目录,表示恢复整个目录。
最终找到了被删除的文件
选择红色文件,小写c选择导出路径。
成功导出。
维吉尼亚解密字符串yise!dmsx_tthv_arr_didvi就可以得到flag。
内存取证三项CTF
题目说明了是取证题。
python2 vol.py -f 1.raw imageinfo //查看配置信息
第一问写的什么,那就打开记事本
python2 vol.py -f 1.raw --profile=WinXPSP2x86 notepad得到文本:666C61677B57336C6563306D655F376F5F466F72336E356963737D
观察只有0-9,字母最多知道F,十六进制(base16),可能是base16
第一问解决。
小白的密码,我们可以使用hashdump查看
python2 vol.py -f 1.raw --profile=WinXPSP2x86 hashdump
对:1e581aafa474dfadfdf83fc31e4fd4ea解密。
flag{19950101}
机密文件是什么?
小白的电脑给小黑的电脑发送了文件,肯定会建立连接。
python2 vol.py -f 1.raw --profile=WinXPSP2x86 connscan
本机192.168.57.21的1045与远程主机192.168.57.14的2333端口建立了连接,进程120.
python2 vol.py -f 1.raw --profile=WinXPSP2x86 pslist列出进程。
cmd进程也有
python2 vol.py -f 1.raw --profile=WinXPSP2x86 cmdscan //提取cmd命令记录
第一个命令就有问题了。
ipconfig
cd C:Program FilesNetcat
nc 192.168.57.14 2333 < P@ssW0rd_is_y0ur_bir7hd4y.zip
发送了一个压缩包。
python2 vol.py -f 1.raw --profile=WinXPSP2x86 memdump -p 120 -D ./使用命令dump下来,并用binwalk 分析一下
里面还有个txt文本
还有六个压缩包。
进output文件夹里 ls
解压第一个文件时提示需要密码
用刚刚的弱口令出生年月就可以解压得到P@ssW0rd_is_y0ur_bir7hd4y.txt
flag{Thi5_Is_s3cr3t!}内存取证就结束了,以后加油!
平顶山学院· 沙漏安全团队
微信号|SLteam666
奋发努力|拼搏向上
本期编辑|bosounho
本文始发于微信公众号(网络安全攻防训练营):浅谈网络安全之内存取证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论