实例分析基于Volatility的内存分析技术Part 1
发布时间:2022-07-11 14:49:03 所属栏目:安全 来源:互联网
导读:欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识
|
欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识,都不会影响您理解本文的内容! 阅读清单: 内核模式 用户模式 虚拟内存 Windows进程 一点背景知识: 内存取证(有时称为内存分析)是指对计算机内存转储中易失性数据进行的一种分析。信息安全专业人员可以通过内存取证,来调查和识别那些不会在硬盘驱动器数据中留下痕迹的攻击或恶意行为。 通过内存取证,安全人员可以了解运行时的各种系统活动,例如开放的网络连接或最近执行的命令和进程等。 在这个系列文章中,我们将以Coreflood木马为例,来介绍相关的内存取证方法。 Coreflood是由一群俄罗斯黑客创建并在2010年发布的木马和僵尸网络。FBI已经将“大约17个州或地方政府机构,包括1个警察局;3个机场;2个国防承包商;5个银行或金融机构;大约30个学院或大学;大约20个医院或医疗公司;以及数百家企业”[1]列入受感染系统的名单中。截至2011年5月。它已经感染了世界各地230多万台计算机;到目前为止,它仍然是一个巨大的威胁。——维基百科 这个文章系列的目标是借助于volatility来了解这个恶意软件的行为,以及相应的内存取证方法。我将尝试发掘所有关于Coreflood的取证工具,以了解这个恶意软件背后的动机到底是什么。我希望能从这次取证分析中学到一些新的东西,并教给大家一些新的东西! 实际上,这种工作方式就是先通过扫描物理内存,找到4个字节的签名0x54455054(“TCPT”),然后,解析出接下来的28个字节,并将其作为完整的_TCPT_OBJECT结构体。 实例讲解基于Volatility的内存分析技术Part 1 volatility -f coreflood.vmem connscan命令的输出结果 从上面的输出结果来看,主机好像正在进行正常的通信,所有的通信都是由pid 2044进程(IEXPLORE.EXE)创建的。我查了一下这些IP的地理位置,它们都是注册在一些大公司的名下,比如微软、AT&T等公司。当然,关于这些IP的数据可能已经改变了,因为当前考察的vmem文件已经有些陈旧了;此外,这些也可能是黑客为了欺骗调查人员而对这些IP地址数据做了手脚。 为了确保的确没有恶意通信,我们应该检查入站连接是否安全。为此,我们可以使用sockscan命令,该命令将扫描内存中的_ADDRESS_OBJECT结构体。通过扫描内存中的这个内存结构,我们可以深入了解以前打开的套接字和当前打开的套接字。  (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号