小众内存分析工具之Redline

admin 2022年5月19日10:10:57评论645 views字数 2409阅读8分1秒阅读模式

小众内存分析工具之Redline


电子数据取证分析比武和实际案件中,内存分析一直是关注的重点之一。内存取证的对象是系统运行时的在线数据(也叫易失数据)。系统中的各种信息(如进程、服务、应用、网络浏览历史、编辑的文档、图片、发送和接收的网络数据、运行的程序、剪贴板、用户名和密码、注册表、屏幕显示的内容等),均会在内存中存在,这些数据也最能反映案件现场的原始状况。

市面上有众多的内存工具,最著名的就是Volatility,一个顶级开源的内存分析工具,使用者众多,功能及模块也非常强大,但由于没有可视化操作,因此对于初级使用者来说有些难度。今天笔者推荐一款小众的免费可视化内存取证工具—Redline。


小众内存分析工具之Redline


Redline是知名安全公司FireEye发布的一款针对内存分析的免费的可视化工具,通过对内存数据的分析和整理,为用户提供主机调查功能,便于发现恶意软件的迹象并生成威胁评估报告。


RedLine使用起来非常方便,安装完后,点击图标即可运行起来。它的界面非常简洁和实用,主要有两个功能:


小众内存分析工具之Redline


一、收集数据(Collect Data)

RedLine可以生成数据收集的配置文件并存储在U盘中,可对目标计算机进行特定文件收集,如内存、磁盘信息、注册表信息、网络信息等。

特别值得提到的是,RedLine支持IOCs(失陷指标)分析,可展示出目标电脑是否受到攻击、木马植入等。(本期将不关注IOCs分析)


二、分析数据(Analyze Data)

RedLine可以对内存进行详细的分析,支持主流三大操作系统Windows、OS X、Linux的内存镜像。


接下来,我们将以一个.vmem的内存镜像进行举例演示:


1. 加载内存文件

1)使用时,从开始界面点击From a Saved Memory File 进行内存分析:


小众内存分析工具之Redline


也可以通过点击左上角小众内存分析工具之Redline图标,在下拉菜单中选择Analyze a Saved Memory File进入内存分析界面:


小众内存分析工具之Redline


2)指定内存文件,如下图所示。Redline支持多种内存工具制作的内存镜像格式,如.img、.mem、.raw、.vmem等:


小众内存分析工具之Redline


选中需要分析的内存镜像,点击Next进入下一步:


小众内存分析工具之Redline


3)用户可进行分析内容的参数配置,点击Edit your script,选中需要分析的内容:


小众内存分析工具之Redline


勾选Show Advanced Parameters后,显示更多进程参数选项,可进行特定进程的分析:


小众内存分析工具之Redline


完成分析参数配置后,点击确定,系统自动开始进行内存分析:


小众内存分析工具之Redline

2. 分析结果查看

分析完成后,用户可通过点击左侧目录列表进行分析结果查看。(下面我们简单展示下几个功能的分析结果)。


小众内存分析工具之Redline


1)Processes – 列出内存中所有的进程列表,包含Process Name(进程名称)、PID、Path(路径)、开始时间、SID等多种详细内容。用户也可点击下面的Handles(句柄)、Memory Sections(内存分布)、Strings(字符串)、Ports(端口)分别查看进程中的细分类型展示。


下图为Ports功能展示,用户可以对每一列进行排序和过滤筛选,并且分析出包括IP地址、State(端口状态)、Created(创建时间)、Protocol(协议类型)等重要信息。


小众内存分析工具之Redline


2)Hierachical Processes – 列出进程中的父子进程的层级关系:


小众内存分析工具之Redline


3)Driver Modules – 列出内存中的驱动程序,包括名称、路径、大小、内存地址等详细内容:


小众内存分析工具之--Redline


4)Hooks –内存中钩子的详细情况,包括调用钩子的程序、功能模块、钩子的地址信息、钩子的类型等内容:


小众内存分析工具之Redline


Redline作为一款内存分析工具,操作和查看结果都非常简单,在使用中具有如下优点:


  1. 排序功能 -- 具有支持列的内容排序,如时间排序、名称排序、PID排序等等,可以快速帮助用户定位要找的内容:


小众内存分析工具之Redline


2. 过滤功能 -- 用户通过每一列下的漏斗标志,输入关键字,设置内容条件选择进行快速结果过滤,而且还支持多列多条件组合过滤功能及正则表达式的使用:


小众内存分析工具之Redline


3. 可视化程度高 -– 以Strings功能为例,用户查找内存中涉及到“english”字符串的进程,只需要在分析时勾选“Strings”配置参数后,就可在结果中通过关键字查找快速找到想要的结果:


小众内存分析工具之Redline


4. 信息查看方便 –例如单一进程的内容细节查看:


小众内存分析工具之Redline


5. 标签功能 – 采用不同的颜色标签,只需点击Tag标志,即可切换颜色,方便用户标记筛选线索:


小众内存分析工具之Redline


6. 结果导出 – 支持结果清单可导出为.csv格式,方便后期进行数据处理:


小众内存分析工具之Redline


总结一下:

Redline具有非常友好的可视化界面,相比于其他的内存分析工具来说,对用户更容易上手操作,线索查找高效便捷。目前可支持Windows10系统的内存分析。但它也有不足,分析功能上略逊Volatility一筹,而且需要使用者具有一定的英文基础。


Redline作为一款免费工具软件,实用功能强大,本次我们简单地分享了它的内存分析功能,里面还有其他特别功能,后期我们将一一分享。


另附其下载方式:

https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-redline.zip


安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电95015,期待您的来电!







“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。





小众内存分析工具之Redline

原文始发于微信公众号(盘古石取证):小众内存分析工具之--Redline

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月19日10:10:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   小众内存分析工具之Redlinehttp://cn-sec.com/archives/1018170.html

发表评论

匿名网友 填写信息