【Windows内存取证】

  • A+
所属分类:安全文章 逆向工程

随着计算机的高速发展和互联网的普及,个人乃至社会越来越意识到信息安全的重要性,大到计算机服务器系统安全,小到应用程序的加密处理,都给取证带来不小的麻烦。

面对这种情况,内存取证应运而生,因为内存中往往含有很多有价值的易失性信息,例如即时通讯聊天记录、网站浏览记录、BitLocker密钥等重要信息,因此内存取证也成为了计算机取证的重要一环。下面就给大家介绍内存的获取与分析。

【Windows内存取证】

内存获取


当拿到嫌疑人电脑后,有以下常见的获取物理内存的方法:

(1)内存获取软件获取

(2)直接内存访问(DMA)方式获取.

在Windows电脑处于可进入系统桌面下,可以使用内存获取软件获取内存镜像,常见的内存获取软件有Dumplt、Magnet RAM Capture等。

这里以Magnet RAM Capture为例。运行软件后,可选择分段大小,之后选内存镜像保存路径,点击“start”后,软件自动获取物理内存镜像。


【Windows内存取证】 

除了内存镜像中的数据外,Windows还使用页交换文件(Pagefile.sys)来协助内存的工作,当内存不满足系统所需的情况下,会释放部分内存数据到Pagefile.sys文件中,因此,当设备断电后,若无法拿到内存镜像,可以通过分析Pagefile.sys文件获取有价值的内存数据。

当Windows系统处于休眠状态下,系统会在磁盘中生成一个休眠文件(Hiberfil.sys)用于存放内存中的数据,当计算机重新加电时,又将休眠文件中的数据重新写到物理内存中 ,这个文件也会包含很多价值的内存数据。


这里补充一个知识点:在计算机电源选项中,有睡眠和休眠两种选项,这俩者有什么区别呢?



【Windows内存取证】
【Windows内存取证】


首先在睡眠模式下,内存中的数据不会保存到硬盘中,而是一直保存在内存中,因此,电脑启动速度更快,但设备断电后,内存数据就会消失。

其次在休眠模式下,内存数据保先存到硬盘,设备断电也不会造成内存数据丢失,重启后可恢复,可加快电脑启动速度。

在睡眠模式下,内存中的数据不会保存到硬盘中,而是一直保存在内存中,因此,电脑启动速度更快,但设备断电后,内存数据就会消失。



内存分析



天鉴计算机取证分析系统


天鉴计算机取证分析系统支持内存取证功能,包含系统信息、系统痕迹、文件信息、即时通讯、上网记录等多种痕迹解析。


【Windows内存取证】 

以QQ为例,由于QQ电脑版中的数据库文件Msg3.0.db为加密文件,因此在物理镜像中无法解析聊天记录,但是可通过下图看到,在内存镜像中,解析出了QQ聊天记录。


【Windows内存取证】 



Volatility内存取证软件


Volatility内存取证软件是一款开源的内存分析工具,支持各种操作系统,采用命令行的方式分析内存镜像。下面就介绍常用的指令来分析内存。


1. //拿到内存镜像后,首选需要判断内存镜像的配置文件。  

2. volatility.exe -f memory.raw imageinfo   


【Windows内存取证】 

1. //使用pslist查看内存中的进程信息。 

2. volatility.exe -f memory.raw –profile=Win81U1x86 pslist 


【Windows内存取证】 

1. //查看被隐藏的进程,例如某些隐藏的病毒文件 

2. volatility.exe -f memory.raw --profile= Win81U1x86 psxview 


【Windows内存取证】 

1. //将内存中的某个进程保存出来。  

2. volatility.exe -f memory.raw --profile= Win81U1x86 memdump -p 4 -D C:111  


【Windows内存取证】 

1. //列举缓存在内存的注册表  

2. volatility.exe -f memory.raw --profile= Win81U1x86 hivelist  


【Windows内存取证】 

1. //查看Windows帐户密码Hash  

2. volatility.exe -f memory.raw --profile= Win81U1x86 hashdump  


【Windows内存取证】 

1. //如需用到其他的指令或插件,使用指令  

2. Volatility.exe -h  


【Windows内存取证】 

除此之外,通过内存还可提取到加密密钥。在实际的现场取证中,会遇到未知Windows电脑屏幕密码的情况,若电脑开启了BitLocker加密,则使用冷机拷贝出的物理镜像为加密镜像,无法进行解析。面对这种情况,可使用PC快速解密系统获取到嫌疑人电脑的内存从而提取出BitLocker密钥,来解密加密的物理镜像。



PC快速解密系统操作演示


(1)将PC快速解密系统与上位机和目标机进行连接


【Windows内存取证】 

(2)打开软件,选择“启动命令行1”,即可在未进入系统的情况下分析嫌疑人电脑的内存从而获取到BitLocker密钥,就可以解密物理镜像。


【Windows内存取证】 

以上就是内存取证的基本方法及分析,感兴趣的小伙伴可以多多尝试练习。

【Windows内存取证】

来源:天鉴科技


【Windows内存取证】

现场勘查过程中内存数据的提取方法

通过强网杯看内存镜像取证分析

内存数据库中的索引技术

内存镜像获取和解析(取证大师)

内存取证分析的实战演练

[翻译]内存取证分析

【计算机内存取证技术】

电脑内存数据的提取和分析

内存取证初探

【打破全盘加密之道】如何在内存中提取密钥?

【恶意程序如何实现自我删除?】内存中找证据!

【动态内存】这样取证!

【Windows】内存取证分析

【Linux内存分析工具】Volatility

信息时代电子数据取证程序的反思与重构——兼评《电子数据取证规则》的谬误与修正(上)

信息时代电子数据的取证程序的反思与重构——兼评《电子数据取证规则》的谬误与修正(下)

相关推荐: 车联网安全监管策略研究

【摘要】:车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。当前伴随车联网智能化和网联化进程的不断推进,车联网网络安全形势日趋严峻。安全作为关系到车联网能否快速发展的重要因素,…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: