數字取證技術 | Windows內存信息提取
*原創作者:Cunlin,本文屬Freebuf原創獎勵計劃,未經許可禁止轉載
0×00概述
後面會花一部分時間,寫一些數字取證相關的文章。攻擊技術貼多如牛毛,眼下不管是網安,還是安全廠商, 欠缺的是對取證技術的研究。
大致想了一下,主要會從以下幾個方面逐一介紹吧:
- 內存
- 硬碟鏡像
- 網路
- Timeline利用
- 威脅情報在取證中的作用等
0×01 windows內存取證
取證的時候為什麼要做內存分析?因為在內存裡面可以看到操作系統在做的幾乎所有的事情。當內存塊不被覆蓋的情況下,很多歷史信息同樣被保留。主要有:
- 進程和線程
- 惡意軟體,包括rootkit技術
- 網路socket,URL,IP地址等
- 被打開的文件
- 用戶生成的密碼,cache,剪貼板等
- 加密鍵值
- 硬體和軟體的配置信息
- 操作系統的事件日誌和註冊表
有了以上這些信息,我們可以找出更多有用的信息,在本文章中, 我們就以找出系統的歷史CMD命令行為例。
0×02內存的獲取
基本上,都是通過工具,或者已經由系統生成的dump文件來獲取其信息。當然,在虛擬環境下, 也可以通過虛擬機的鏡像文件,或者快照文件獲取內存信息。
0×03 內存鏡像的分析
我們以Redline工具為例, 來分析一下當前內存的信息。
首先,Redline可以直接收集當前的內存信息。 也可以利用威脅情報(IoC)來搜索當前的內存信息。這裡就不多介紹。
我們直接打開已經獲取到的內存鏡像文件:sobig.img
注意,因為本文章要獲取系統的歷史CMD命令, 所以需要修改一下默認分析腳本: 打開Strings參數。
完全打開之後,我們可以看到很多信息:
1. 進程和各個進程之間的父子關係。
2. 每個進程參數
3. Redline自帶打分功能MRI,給每個進程打分。 惡意進程的MRI會很高,標記為紅色。
4. 載入的驅動
5. Hooks
6. 根據時間生成timeline。 這個在做安全應急響應分析的時候非常重要。
圖上紅色的就是惡意進程。
0×04獲取歷史CMD命令
在windows XP下,
一般
cmd.exe
的歷史記錄存在於
csrss.exe
進程內。
而
windows 7
上,則存在於
Conhost.exe
進程內。
所以在這個例子中,我們可以看csrss.exe進程的具體信息
然後再選在我們之前打開的Strings參數。我們可以看到這個進程在運行過程中,一些調用的函數名稱等字元。 類似通過BinText來查看一個二進位文件一樣。
再通過過濾器來提取所有cmd.exe的信息, 我們就能看到, 計算機在運行的過程中所有執行過的CMD命令。
0×05總結
通過以上小例子,我們可以從內存信息裡面提取一些重要的證據。如果當黑客已經攻破了內網一台主機(C&C已經建立),大多都會使用系統自帶的命令來收集更多的信息,或者進一步侵入內網其他主機。
使用CMD的好處是容易隱藏自己的行為。因此,這種情況下我們可以通過類似上述手段,找到更多黑客的蹤跡。
當然, 這裡介紹的Redline只是其中的一個工具。 類似還有非常流行的Volatility等。在後面的文章中會有更多的介紹。
*原創作者:Cunlin,本文屬Freebuf原創獎勵計劃,未經許可禁止轉載
※滲透測試中利用基於時間差反饋的遠程代碼執行漏洞(Timed Based RCE)進行數據獲取
※如何利用sdclt磁碟備份工具繞過UAC
※釣魚引發的APT攻擊回溯 | C&C伺服器位於韓國,whois註冊卻在中國上海
※蘋果公司遭遇黑客組織勒索:不付贖金就曝光或抹除3億iCloud賬戶信息
※PHP網站滲透中的奇技淫巧:檢查相等時的漏洞
TAG:FreeBuf |
※Ana?s Faubert 難以置信的數字藝術作品
※Antoni Tudisco 數字藝術作品欣賞
※卡巴斯基發布開源數字取證工具:Bitsout
※Materialise聯手Tailored Fits提供定製3D列印滑雪靴數字鏈
※Andrius Balciunas 數字藝術作品欣賞
※研究證實用Android圖形解鎖不安全 還是數字密碼好
※Power SCM Cloud 科箭用雲技術賦能數字化供應鏈
※Saucony 專業數字平台 Run Your World 上線
※Google發布數字助理Assistant SDK,讓更多硬體變得智能
※Numbers數字
※Numbers 數字
※Eva Lagnim 數字藝術作品
※Escape Motions工作室發布Rebelle 2 數字藝術的革新
※Apple 推出全新配備數字鍵盤之 Magic Keyboard
※Cambridge Blockchain 聯合 LuxTrust,將推出基於區塊鏈的數字身份認證平台
※蘋果收購Lattice Data,挖掘黑數據的數字石油價值
※decodeURIComponent有個BUG,當瀏覽器請求地址含%+數字時,會解析錯誤
※Vudu「Disc-to-Digital」光碟轉數字內容服務登陸移動平台
※Mansik Yang/yam 數字藝術作品欣賞