内存取证

内存取证与流量分析

内存取证

内存取证分为活取证和死取证

活取证就是

在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来，对运行内存进行还原分析

主要工作就是
看系统
看命令
哈希摘要
日志文件
内存信息

死取证就是

对机器的磁盘做镜像之后进行分析，在关机后制作硬盘镜像，分析镜像（MBR硬盘分区,GPT全局分区表,LVM逻辑卷）是否存在病毒,木马等恶意程序

内存取证主要用的就是vol

现在有vol2和vol3

但是个人认为vol3没有2好用

但是vol2的配置就是依托

vol2安装

首先需要安装依赖
sudo apt install -y python2  libpython2-dev
sudo python2 -m pip install -U setuptools wheel

下载 pip2

sudo wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
sudo python2 get-pip.py

python 依赖

sudo pip2 install pycrypto distorm3

下载 volatility 到 /usr/share 目录

cd /usr/share
sudo git clone https://github.com/volatilityfoundation/volatility
cd volatility
sudo python2 setup.py install

vol.py -h

如果你报错了但是pytho2 vol.py可行，说明你跳步骤了

vol的指令格式是固定的，3和2的差不多，就是插件的调用方法和profile不用指定就是了

命令集可以看这个大佬的

vol一般都是直接用插件冲，所以我们需要知道插件是干啥的

imageinfo

分析内存镜像的基本信息

volatility -f 镜像文件 imageinfo

pslist

plist：查看镜像中正在运行的进程

volatility -f 镜像文件 --profile=镜像文件  pslist

pstree

以树的形式来列出正在进行的进程

cmdscan

cmdscan是搜索XP / 2003 / Vista / 2008和conhost.exe上搜索csrss.exe的内存，
对于win7是搜索cmd.exe。是搜索命令行的输入历史记录

这是xp的

这是window 7 的

consoles

跟cmdscan类似，但是他不是扫描command_history，但是扫描consoles_information
cmdscan只能看输入的命令但是console能看到缓冲区的输出

cmdline

列举出所有命令行下运行的程序
privs:显示进程权限
envars：显示进程环境变量
verinfo：显示PE文件中嵌入的版本信息
enumfunc：列出进程，dll和内核驱动程序导入和导出

filescan

扫描文件指令，一般后面直接就是 | grep ‘flag’

或者| grep -E “png”（查找png后缀文件）

dumpfiles

dump出指定PID的文件，一般只要是做内存题都会用到的指令。

procdump
转储进程的可执行文件，后跟PID

memdump
可以将内存中的某个进程保存出来

volatility -f win7.vmem —profile=Win7SP1x64 memdump -p [PID] -D ./

用Hash获取密码

mimikatz

printkey

获取用户：volatility -f raw.raw —profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names

例题：弗列格殿下

日常的imageinfo看系统

看filescan

看cmdline

看consoles

看iehistory

哦终于又发现

看到他下载了flag.jpg和hint.txt

filescan | grep hint

dumpfiles -Q 地址 -D ./

gilescan | grep flag

这个没有，hint提示了fl4g，搜

gilescan | grep fl4g

dumpfiles -Q 地址 -D ./

两个一样的图片，梦回隐写

双写隐写，png在前

聚合图床不让放二维码，这里你们自己解一下

出了个二维码，扫码打开，百度翻译，听语音

flag{abcdefg}