最近,我发现自己需求对完好内存转储进行一些查询。通过一段时间的搜索,我发现了Volatility-Labs的这篇文章,依据其间的辅导办法,我能够很好的来评价内存转储。当然,你或许会有更好、更深度...
最近,我发现自己需求对完好内存转储进行一些查询。通过一段时间的搜索,我发现了Volatility-Labs的这篇文章,依据其间的辅导办法,我能够很好的来评价内存转储。当然,你或许会有更好、更深度的内存歹意软件剖析技能,但对内存转储进行根本的剖析却是必不可少的。
首要,咱们需求搜集内存转储。详细怎么挑选相关东西,请点此。在这篇文章的测验中,我挑选运用了DumpIt,DumpIt 是一款绿色免装置的windows内存镜像取证东西。利用它咱们能够轻松的将一个体系的完好内存镜像下来,并用于后续的查询取证作业。
将可履行文件加载到闪存驱动器后,我将其附加到体系进行查询。在本文,我运用带有/ T标志的指令,以RAW格局仿制内存。
.DumpIt.exe /T RAW
在获取内存并将其仿制到剖析体系之后,咱们首要需求找到的是咱们需求运用的内存配置文件,以便咱们的东西知道怎么读取转储。在本文的示例中,我将运用开源东西Volatility来查询和剖析转储文件。在此,我主张从其下载页面直接下载独立可履行文件,以防止发生安全问题。关于Volatility,要运转的指令是imageinfo,这应该会需求等候一段时间,然后呈现输出引荐的内存配置文件。
现在,有了配置文件,咱们就能够查询任何体系管理员都应该了解的一些数据、正在运转的流程和网络活动。
· -profile:设置volatile,以了解怎么处理内存转储;
· -f:指定要提取的volatile文件(原始内存文件);
· pslist:列出正在运转的进程;
· netscan:网络活动,类似于许多操作体系上的netstat;
查看此数据,剖析师或许会注意到一些古怪的状况,或许能够查看基线或体系一切者是否有来自体系的已知杰出活动的列表。
查询并查看实时数据后,能够对已加载的可履行文件进行评价。为此,咱们将转储一切DLL和加载的模块。
在本文,咱们将运用-D标志将文件转储到输出目录。
· dlldump:转储加载的dll
· moddump:转储加载的模块
接下来,咱们将运用volatility 模块 malfind在运转的进程中查找代码注入,并将其转储到输出目录。
· malfind:寻觅注入的shellcode
在搜集完这些数据后,咱们将运用已知的IOC进行扫描。在本文的示例中,我运用了ClamAV,Loki和SparkCore(次序如下),其间每个都能够了解歹意运转的代码。
所以现在事情响应者能够承认体系内存中存在歹意代码而且能够适当地进行更深化的剖析。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/7245.html