实例讲解基于Volatility的内存解析技术Part 1
发布时间:2022-08-25 15:39:50 所属栏目:安全 来源:互联网
导读:欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识
|
欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识,都不会影响您理解本文的内容! 内存取证(有时称为内存分析)是指对计算机内存转储中易失性数据进行的一种分析。信息安全专业人员可以通过内存取证,来调查和识别那些不会在硬盘驱动器数据中留下痕迹的攻击或恶意行为。 通过内存取证,安全人员可以了解运行时的各种系统活动,例如开放的网络连接或最近执行的命令和进程等。 Coreflood是由一群俄罗斯黑客创建并在2010年发布的木马和僵尸网络。FBI已经将“大约17个州或地方政府机构,包括1个警察局;3个机场;2个国防承包商;5个银行或金融机构;大约30个学院或大学;大约20个医院或医疗公司;以及数百家企业”[1]列入受感染系统的名单中。截至2011年5月。它已经感染了世界各地230多万台计算机;到目前为止,它仍然是一个巨大的威胁。——维基百科 我们可以看到,似乎一切都很正常,不过有几件事引起了我们的注意。当前,IE浏览器在运行,同时cmd也在运行,看来正确的做法是检查出站连接,因为恶意软件可能伪装成Internet Explorer浏览器,以隐藏自己与C&C的通信流量。 此外,我们也可以检查一下cmd在那边做什么,这一点将在后面讨论。 一个最简单的操作就是查看出站连接。如果IE出站连接没有找到可疑之处,我们就需要从其他地方寻找恶意活动的踪迹。 下面,我们将使用connscan命令来检查之前终止的和当前活动的连接: “要想使用池标签扫描功能查找_TCPT_OBJECT结构体,请使用connscan命令。这样做的好处是,我们不仅可以从活动的连接中查找证据,还可以从之前被终止的连接中搜索证据。”——摘自Volatility的官方文档 实际上,这种工作方式就是先通过扫描物理内存,找到4个字节的签名0x54455054(“TCPT”),然后,解析出接下来的28个字节,并将其作为完整的_TCPT_OBJECT结构体。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号