师兄昨天开了一个公开课讲取证,之前接触取证比较少,去听了一下,接触到了内存取证。感觉除了取证中可以用到,病毒分析和应急响应中也可以用这个方法来分析。
下面列几个volatility的参数:
driverirp:IRP hook驱动检测
drivermodule:关联驱动对象至内核模块
driverscan:驱动对象池扫描
dumpcerts:提取RAS私钥及SSL公钥
dumpfiles:提取内存中注册表信息至磁盘
editbox:查看Edit编辑控件信息(Listbox正在实验中)
envars:显示进程的环境变量
eventhooks:打印Windows事件hook详细信息
evtlogs:提取Windows事件日志(仅支持XP/2003)
filescan:提取文件对象池信息
gahti:转储用户句柄类型信息
gditimers:打印已安装的GDI计时器及回调
gdt:显示全局描述符表
getservicesides:获取注册表的服务名称并返回SID信息
getsids:打印每个进程的SID信息
handles:打印每个进程打开的句柄的列表(句柄是一种智能的指针)
hashdump:转储内存中Windows账户密码哈希
hibinfo:转储休眠文件信息
hivedump:打印注册表配置单元信息
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd imageinfo
第一题是进程个数,可以导出到txt中查看行数来判断个数。
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 pslist > 1.txt
132-2=130个
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 getsids
S-1-5-21-1208496363-1471511537-3676892945-500
这里是没有命令可以查看系统时间的,但是可以通过system的启动时间判断系统开机时间
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 pslist
2018-10-25 07:20:46 UTC+0000
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 3808
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 4760
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 svcscan > 3.txt
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 5800
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 netscan | grep -i 7273
volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 netscan | grep -i ESTABLISHED | grep -v 127.0.0.1 | grep -v -i udp
原文始发于微信公众号(Th0r安全):从中科实数看内存取证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/966992.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论