zoukankan      html  css  js  c++  java
  • 电子取证-活取证1

    电子取证
     
    使用dumpit工具将计算机内存镜像保存。并生成raw文件格式文件。
    检测镜像文件基本信息
    volatility -f 2008.raw imageinfo
    检测进程列表及物理内存位置
    volatility -f 2008.raw --profile=Win2008R2SP1x64 pslist
     
    产看进程树,可以轻松了解各进程之间的关系:父进程与子进程
    volatility -f 2008.raw --profile=Win2008R2SP1x64 pstree
    蜂巢:
    在注册表中,有根文件夹。这些根文件夹被称为蜂巢。 以下是5个注册表的配置单元:
    注册表结构:
    注册表由键、子键和值项构成,一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键同样是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。通常,值是0或1,意味着开或关,也可以包含通常以十六进制显示的更复杂的信息。
    注册表信息取证价值:
    对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等。
     
    查看注册表蜂巢文件
    volatility -f 2008.raw --profile=Win2008R2SP1x64 hivelist
    按虚内存地址来查看注册表内容(计算机是使用虚地址【virtual】寻址的)
    通过dump software的虚内存起始地址可以查看电脑上的所有软件的注册表信息
    volatility -f 2008.raw --profile=Win2008R2SP1x64 hivedump -o 0xfffff8a0005fc410
    如果想查看SAM表结构需要右键SAM给管理员增加权限,默认情况下管理员没有查看权限
    高级---设置继承权限(子项可以继承父项的权限)
     
    SAMDomainsAccountUsersNames 这就是用户账号的物理位置
    使用volatlity查看当前内存镜像中的用户
    volatility -f 2008.raw --profile=Win2008R2SP1x64 printkey -K "SAMDomainsAccountUsersNames"
     
     
    查看最后登录的用户
    volatility -f 2008.raw --profile=Win2008R2SP1x64 printkey -K "SOFTWARE
    MicrosoftWindows NTCurrentVersionWinlogon"
     
     
    提取hash
    volatility -f 2008.raw --profile=Win2008R2SP1x64 hashdump -y <system> -s <SAM>
    <system>使用system键值的虚地址
    <SAM>使用SAM键值的虚地址
    0xfffff8a000024010 0x000000000210e010 REGISTRYMACHINESYSTEM
    0xfffff8a0005e2010 0x00000000390fe010 SystemRootSystem32ConfigSAM
    volatility -f 2008.raw --profile=Win2008R2SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a0005e2010
     
    查看正在运行的程序、运行过多少次、最后一次运行时间等。
    volatility -f 2008.raw --profile=Win2008R2SP1x64 userassist
    当前内存中运行的程序一共2704个,后面只截取了其中的notepad、explorer两个程序信息。
     
     
     
    dump进程ID为2900的进程数据,并将其保存到mem目录下
    explorer.exe 2900
    volatility -f 2008.raw --profile=Win2008R2SP1x64 memdump -p 2900 -D mem/
    memdump将与explorer.exe 相关的内存全部dump下来保存在2900.dmp中。
    使用hexediter查看dump生成的dmp文件数据
    hexeditor mem/2900.dmp
    查看内存中的字符串
    strings 2900.dmp | more
    也可以将字符串全部导出txt
    strings 2900.dmp >> 2900.txt
    提取关于password的字符串
    strings 2900.dmp | grep password
    提取关于@的字符串
    strings 2900.dmp | grep @
    查看命令行历史
    volatility -f 2008.raw --profile=Win2008R2SP1x64 cmdscan
    可以看到最近DumpIt.exe程序调用cmd命令执行
    查看网络连接
    volatility -f 2008.raw --profile=Win2008R2SP1x64 netscan
    查看IE的历史信息
    volatility -f 2008.raw --profile=Win2008R2SP1x64 iehistory
    从多个位置搜集系统活动信息
    volatility -f 2008.raw --profile=Win2008R2SP1x64 timeliner
     
    查看已经建立的连接(可以用于发现反弹连接)connscan只支持32位系统
    volatility -f 2008.raw --profile=Win2008R2SP1x64 connscan
     
    Firefoxhistory 插件
    – http://downloads.volatilityfoundation.org/contest/2014/
    DaveLasalle_ForensicSuite.zip
    – /usr/lib/python2.7/dist-packages/volatility/plugins/
    volatility -f 2008.raw --profile=Win2008R2SP1x64 firefoxhistory
    ▪ USN日志记录插件
    – NTFS特性,用于跟踪硬盘内容变化(不记录具体变更内容)
    usnparser.py
    volatility -f 2008.raw --profile=Win2008R2SP1x64 usnparser --output=csv --outputfile=usn.csv
     
    Volatility插件
    内存取证发现恶意软件
    – https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
    – https://code.google.com/archive/p/volatility/wikis/
    SampleMemoryImages.wiki
     
    内存取证发现恶意软件
    – XP 建立 meterpreter session 后dump ٖ内存分析
    – volatility -f xp.raw --profile=WinXPSP3x86 pstree
    – volatility connscan 网络连接
    – volatility getsids -p 111,222 # SID
    – volatility dlllist -p 111,222 # 数量
    – volatility malfind -p 111,222 -D mem/ #检查结果查毒
  • 相关阅读:
    MyBatis学习教程
    【转载】Spring MVC 整合 Freemarker
    Java高效编程之四【C语言结构的替代】
    String相关的问题
    接口与抽象类的区别
    Java Garbage Collection基础详解------Java 垃圾回收机制技术详解
    数据库事物、隔离等级及数据库锁机制
    hadoop 多表join:Map side join及Reduce side join范例
    Java IO设计模式彻底分析 (转载)
    傅里叶变换的智慧[转]
  • 原文地址:https://www.cnblogs.com/micr067/p/11396141.html
Copyright © 2011-2022 走看看