内存取证的优势:
内存镜像的获取
1、Windows内存镜像的获取要想获取到Windows内存数据,只要是用户处于登录状态,即便不处于管理员用户的情况下,用相应的镜像获取工具便可以获取到相应的内存数据,常用的比如有DumpIt、FTK Imager、Magnet RAM Capture等,在这里我们使用DumpIt工具来获取计算机内存。
Linux主机获取内存镜像的方式,我们以lime工具进行内存的采集。
在/src目录下使用make指令获取内存镜像。
Volatility的使用
在对内存镜像进行取证的过程中,我们首先会考虑使用Volatility。Volatility 是一款开源的内存取证工具,主要用于分析和调查计算机系统的内存映像。它可以帮助取证分析提取有关运行中计算机系统的关键信息,例如进程、网络连接、注册表、文件系统等。
当使用 Volatility 进行内存取证时,以下是一些常用的命令和对应的功能:
常用指令:
imageinfo:用于获取内存映像的信息,包括操作系统类型、版本和体系结构。
pslist:显示运行中的进程列表,包括进程ID(PID)、父进程ID(PPID)、创建时间等。
psscan:扫描内存中的进程并显示进程详细信息,包括进程名称、PID、创建时间、退出时间等。
pstree:显示进程树,展示进程之间的父子关系。
modules:列出加载的内核模块和驱动程序。
handles:显示进程打开的文件和注册表键的句柄。
filescan:扫描内存中的文件对象并显示详细信息,如文件名、路径、创建时间等。
dumpfiles:从内存映像中提取文件。
connections:显示网络连接信息,包括本地地址、远程地址、进程ID等。
sockscan:扫描内存中的套接字对象并显示详细信息。
实战挑战
编辑参加了最后一次蓝帽杯比赛,也是希望蓝帽杯早点回归,在当时取证部分全部通关后,赛后又颇有研究,在此再拿来复盘。
4.TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
镜像文件:
①先对内存镜像来源进行初步分析,并得到Windows版本:
③除了内存镜像之外,我们还有一个G.E01的磁盘镜像,我们拿来分析,开启万能的取证大师
可以确定是从渗透看取证.pptx,需要用到目录下的字典pass.txt,破解后得到
经查看内容,判断新建文本文档.txt 应该为 Truecrypt 加密之后的内容:
挂载之后得到一个哈哈哈.zip
收获总结
原文始发于微信公众号(电子取证及可信应用协创中心):浅析内存取证
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论