0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享 | 关于内存取证你应该知道的那些事

虹科网络可视化技术 2023-08-01 11:21 次阅读

什么是内存取证?

内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支,用于从计算机的RAM(随机存取存储器)或其他设备的内存中提取关键信息,以便了解设备在特定时间点的状态和活动。

内存取证的主要目的?

内存取证的主要目的是获取在计算机或设备内存中暂时存储的数据,这些数据在设备重启或关机后通常会丢失。通过内存取证,可以获取运行中的进程、正在打开的文件、网络连接、注册表项、加密密钥和密码等敏感信息,这些信息对于数字取证、安全威胁分析和恶意活动检测都非常重要。

内存取证通常在计算机遭受安全事件、系统崩溃、恶意软件感染、取证调查等情况下使用。取证人员使用专业的取证工具和技术,对目标计算机或设备的内存进行快照或镜像,并在另一个设备上进行分析。由于内存数据的易失性,取证人员必须在尽可能短的时间内采集和分析数据,以确保数据的完整性和准确性。

内存取证的步骤

  1. 采集内存镜像:首先,需要采集目标计算机或设备的内存镜像。内存镜像是对内存中所有数据的完整快照,通常通过专用的取证工具来完成。常用的内存采集工具包括Volatility、FTK Imager、DumpIt等。
  2. 确保取证完整性:在采集内存镜像之前,确保目标计算机或设备处于关闭或冻结状态,以避免数据被覆盖或修改。内存镜像的采集过程应该尽量快速,以减少数据的丢失。
  3. 分析内存镜像:将采集的内存镜像导入到内存取证工具中进行分析。在分析过程中,可以查看进程列表、网络连接、打开的文件、注册表项、内存映像和其他运行时数据。
  4. 查找恶意代码和漏洞:在内存镜像中查找潜在的恶意代码、恶意进程或漏洞,以便确认是否存在安全威胁。
  5. 寻找证据:根据需求,在内存镜像中查找可能的证据,例如密码、加密密钥、聊天记录、浏览器历史记录等。这些证据可能对调查和取证提供重要支持。
  6. 进行关联分析:将内存镜像中的数据与其他取证数据进行关联分析,例如硬盘镜像、网络日志等,以获取更全面的信息。
  7. 提取数据:根据需要,从内存镜像中提取重要的数据和证据。提取的数据应该保存为可读格式,并做好记录和标记。
  8. 生成取证报告:根据分析结果,撰写详细的内存取证报告,包括取证过程、发现的证据、结论和建议等。报告应该清晰明了,以便其他人理解和参考。
  9. 保护数据完整性:在进行内存取证的过程中,务必确保数据的完整性和准确性。采用适当的安全措施,避免对内存数据造成修改或破坏。

内存取证和数字取证之间的关系

内存取证是数字取证的一个重要分支,它们之间有着密切的关系。下面简要介绍内存取证和数字取证之间的关系。

  1. 数据来源:

- 数字取证通常涉及对计算机硬盘、存储设备、网络数据等静态数据的分析。这些数据通常在计算机或设备关闭后保留,并且可以在之后进行取证分析。

-内存取证则专注于获取计算机或设备在运行时的实时数据。内存中的数据在设备重启或关机后通常会丢失,因此内存取证需要在设备运行期间进行。

2. 相互补充:

-内存取证和数字取证相互补充,提供了更全面的取证和分析能力。通过数字取证可以获取硬盘、存储设备等静态数据,而内存取证提供了计算机运行时的实时数据,两者结合可以提供更全面、深入的取证信息。

3. 应用场景:

-数字取证广泛应用于网络安全、计算机取证、企业内部调查和法律证据收集等领域。

-内存取证通常在计算机遭受安全事件、系统崩溃、恶意软件感染、取证调查等情况下使用。

内存取证的实例

  1. 获取内存镜像:首先需要获取目标计算机的内存镜像,可以通过物理获取(例如使用内存采集工具将内存保存到文件中)或虚拟获取(例如从虚拟机中导出内存快照)来获得内存镜像。
  2. 分析内存镜像:

导入内存镜像:使用Volatility工具,将采集到的内存镜像导入到分析环境中,准备进行取证分析。

wKgaomTIeUmAS6IWAAKt54eS6X4429.png

选择插件:根据需要选择合适的插件来进行分析,例如"pslist"插件用于列出进程信息,"connections"插件用于查看网络连接信息等。

3. 进程和线程分析:

使用"pslist"插件查看内存中运行的所有进程,并列出每个进程的ID、父进程ID、执行路径等信息。

使用"pstree"插件可以以树状图形式查看进程之间的层次结构关系。

wKgaomTIeVeASO9iAAE4KGhsBWA687.png

使用"psxview"插件可以查看隐藏进程和模块信息。

4. 文件系统和注册表分析:

使用"filescan"插件扫描内存中的文件对象,然后使用"dumpfiles"插件将文件导出到本地磁盘进行分析。

使用"hivelist"插件查找内存中加载的注册表文件,并使用"hivedump"插件将注册表导出到本地进行分析。

wKgaomTIeWKAdmLvAALqjU9Cbhg024.png

5. 使用工具对可疑文件进行检查和扫描(如Virustotal),这里不仅可以使用可疑的可执行文件,也可以使用文件的SHA1进行查询。

wKgaomTIeXqAclziAAESn6T94VY794.png

wKgZomTIeYOAT4OPAAEhHD8A4xY984.png

6. 可以使用逆向分析工具(如IDA)对包进行逆向分析。

wKgZomTIeYyAbYIgAAKZZTWJV8I185.png

从IDA中将汇编转换为伪代码,我们可以发现它具有DLLEntryPoint。这似乎是DLL进入系统的时间。然后它调用CreateProcessNotify。注意RegCreateKeyA。“Software//Microsoft//Windows//CurrentVersion/run”是正常的寄存器,它可以控制计算机自动运行和加载攻击者想要计算机使用的程序。
在对寄存器执行某些操作之后,该进程开始扫描文件夹路径并遍历文档。

wKgZomTIeZSAGr3sAAI1kgdKev0727.pngwKgZomTIeZWAI050AAJswfgAZsY036.png

最重要的一点是,这个过程试图清理缓存:"ericpotic.com"和"mashevserv.com"。这两个网站似乎与僵尸网络有关。攻击者控制僵尸网络,利用僵尸网络对客户端进行入侵。

wKgaomTIeZuANvaqAAJzF07-MAA915.png

如果您对内存取证感兴趣的话,可以咨询虹科SecurityScorecard产品的内存取证服务;如果您对终端安全保护产品感兴趣的话,可以了解虹科Morphisec产品以及我们的终端安全保护解决方案。

虹科推荐

网络安全评级

虹科网络安全评级是一个安全风险评估平台,使企业能够以非侵入和由外而内的方式,对全球任何公司的安全风险进行即时评级、响应和持续监测。

随着数字化转型的加速,云服务,IoT,越来越紧密的第三方供应商等,企业如果只关注自己组织内部的安全远远不够,越来越多的数据泄露/安全事件是由第三方供应链引起的。虹科网络安全评级方案最全面的量化(A-F评分)企业自身及第三方供应链的网络安全情况,获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。让企业能够实时把握自身及第三方供应商的网络安全健康情况,及时避免潜在网络安全/数据泄露带来对企业业务和信誉影响的风险。

该平台使用可信的商业和开源威胁源以及非侵入性的数据收集方法,对全球成千上万的组织的安全态势进行定量评估和持续监测。网络安全评级提供十个不同风险因素评分的详细报告:应用安全、端点安全、CUBIT评分、DNS健康、黑客通讯、IP信誉、信息泄露、网络安全、修补频率、社会工程。

虹科网络安全评级为各行各业的大小型企业提供最准确、最透明、最全面的安全风险评级。

虹科入侵防御方案


虹科终端安全解决方案,针对最高级的威胁提供了以预防为优先的安全,阻止从终端到云的其他攻击。虹科摩菲斯以自动移动目标防御(AMTD)技术为支持。AMTD是一项提高网络防御水平并改变游戏规则的新兴技术,能够阻止勒索软件、供应链攻击、零日攻击、无文件攻击和其他高级攻击。Gartner研究表明,AMTD是网络的未来,其提供了超轻量级深度防御安全层,以增强NGAV、EPP和EDR/XDR等解决方案。我们在不影响性能或不需要额外工作人员的情况下,针对无法检测的网络攻击缩小他们的运行时内存安全漏洞。超过5,000家组织信任摩菲斯来保护900万台Windows和Linux服务器、工作负载和终端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民医疗中心等数千次高级攻击。

虹科摩菲斯的自动移动目标防御ATMD做到了什么?

1、主动进行预防(签名、规则、IOCs/IOA);

2、主动自动防御运行时内存攻击、防御规避、凭据盗窃、勒索软件;

3、在执行时立即阻止恶意软件;

4、为旧版本操作系统提供全面保护;

5、可以忽略不计的性能影响(CPU/RAM);

6、无误报,通过确定警报优先级来减少分析人员/SOC的工作量。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 内存
    +关注

    关注

    8

    文章

    3019

    浏览量

    74003
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59699
收藏 人收藏

    评论

    相关推荐

    培训 | 重磅来袭!波形分析课程全面上线!

    全新升级/技术提升/快速进阶&TG中心波形分析课程主办单位广州电子科技有限公司TechGear免拆诊断中心支持单位英国PicoTechnologyLtd.HongkePico
    的头像 发表于 12-07 01:04 132次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>培训 | 重磅来袭!波形分析课程全面上线!

    活动回顾 | 波形诊断开放日-上海站圆满落幕!

    Pico开放日,可以收获哪些有趣的体验吧!Pico产品展示这里有Pico全系列产品展示,包括四通道示波器主机、压力传感器、NVH套
    的头像 发表于 12-07 01:04 235次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>活动回顾 | 波形诊断开放日-上海站圆满落幕!

    万字干货!CAN XL研讨会问答,你想知道的都在这里!

    CANXL国际研讨会圆满结束,感谢各位观众的热情参与!携手多位CANXL创始成员及行业领袖,包括来自国际CiA协会、博世、英飞凌以及恩智浦等,带来5场精彩纷呈的主题演讲,让我们
    的头像 发表于 11-16 01:00 450次阅读
    万字干货!<b class='flag-5'>虹</b><b class='flag-5'>科</b>CAN XL研讨会问答,你想<b class='flag-5'>知道</b>的都在这里!

    应用 为什么PCAN方案能成为石油工程通讯的首选?

    在石油工程领域,实时监控钻井参数对于确保作业安全和提高效率至关重要。提供的PCAN解决方案凭借其高可靠性和便捷的安装维护特性,为石油钻井行业带来了显著的革新。PCAN石油钻井数
    的头像 发表于 11-08 16:48 214次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>应用 为什么<b class='flag-5'>虹</b><b class='flag-5'>科</b>PCAN方案能成为石油工程通讯的首选?

    京准时钟科普:关于北斗卫星同步时钟的那些

    京准时钟科普:关于北斗卫星同步时钟的那些
    的头像 发表于 10-29 09:28 276次阅读
    京准时钟科普:<b class='flag-5'>关于</b>北斗卫星同步时钟的<b class='flag-5'>那些</b><b class='flag-5'>事</b>?

    关于陶瓷电路板知道

    陶瓷电路板(Ceramic Circuit Board),又称陶瓷基板,是一种以陶瓷材料为基体,通过精密的制造工艺在表面形成电路图形的高技术产品,快来看看哪些是您还不知道
    的头像 发表于 10-21 11:55 282次阅读
    <b class='flag-5'>关于</b>陶瓷电路板<b class='flag-5'>你</b>不<b class='flag-5'>知道</b>的<b class='flag-5'>事</b>

    方案 领航智能交通革新:PEAK智行定位车控系统Demo版亮相

    导读: 在智能汽车技术发展浪潮中,车辆控制系统的智能化、网络化已成为行业发展的必然趋势。PEAK智行定位车控系统,集成了尖端科技,能够实现车辆全方位监控与控制的先进系统。从实时GPS定位到CAN
    的头像 发表于 08-27 09:28 269次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>方案  领航智能交通革新:<b class='flag-5'>虹</b><b class='flag-5'>科</b>PEAK智行定位车控系统Demo版亮相

    应用 当CANoe不是唯一选择:发现PCAN-Explorer 6

    在CAN总线分析软件领域,当CANoe不再是唯一选择时,PCAN-Explorer 6软件成为了一个有竞争力的解决方案。在现代工业控制和汽车领域,CAN总线分析软件的重要性不言而喻。随着技术
    的头像 发表于 08-16 13:08 491次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>应用 当CANoe不是唯一选择:发现<b class='flag-5'>虹</b><b class='flag-5'>科</b>PCAN-Explorer 6

    解密元器件批次:应该知道那些

    一、什么是批次LOTCODE又叫LOTNo.,LOTNo.是lotnumber的缩写,是“批号”的意思。厂家为了可以追溯和审查该批元器件的生产历史,所以每一批产品都有相应的的生产号码。生产批号是同一批元器件的编号。它是用于识别“批”的一组数字或字母加数字。一般的,根据批号可以追踪产品的生产情况(生产日期、质量等级、出厂时间、产地等等)。现在大多数企业都逐渐把
    的头像 发表于 06-19 16:32 980次阅读
    解密元器件批次:<b class='flag-5'>你</b><b class='flag-5'>应该</b><b class='flag-5'>知道</b>的<b class='flag-5'>那些</b><b class='flag-5'>事</b>

    关于MOS管,需要知道那些

    MOT03/252024什么是MOS管?MOS,是MOSFET的缩写。MOSFET金属-氧化物半导体场效应晶体管,简称金氧半场效晶体管(Metal-Oxide-SemiconductorField-EffectTransistor,MOSFET)。一般是金属(metal)—氧化物(oxide)—半导体(semiconductor)场效应晶体管,或者称是金属—
    的头像 发表于 05-15 08:37 1670次阅读
    <b class='flag-5'>关于</b>MOS管,<b class='flag-5'>你</b>需要<b class='flag-5'>知道</b>的<b class='flag-5'>那些</b><b class='flag-5'>事</b>

    新品 | E-Val Pro Plus有线验证解决方案

    标准-全新的外观和使用体验,改进屏幕导航功能-功率、内存和通道容量均有所提升-完全兼容现有的E-ValPro硬件、配件和ValSuite早期版本在发布
    的头像 发表于 04-19 08:04 354次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>新品 | E-Val Pro Plus有线验证解决方案

    科技术 | PCAN View功能细讲:从实时监测到错误帧分析

    相信使用过PCAN工具的朋友都知道PCAN-View这款免费软件,它具有直观的用户界面,可以实时监测和分析CAN总线上的数据帧,并提供过滤、发送和报文记录。但
    的头像 发表于 03-18 13:48 1255次阅读
    <b class='flag-5'>虹</b>科技术 | PCAN View功能细讲:从实时监测到错误帧分析

    辊压机轴承位磨损修复知道那些

    电子发烧友网站提供《辊压机轴承位磨损修复知道那些.docx》资料免费下载
    发表于 03-12 15:10 0次下载

    分享 | PCAN工具:强大的CAN通讯解决方案,了解多少?

    在当今的汽车和工业自动化领域,可靠的通讯系统至关重要,PCAN工具为这些应用提供了强大的支持。本文将介绍PCAN工具的功能、应用和优势,帮助您根据实际需求选择合适的工具和配件。
    的头像 发表于 02-02 09:54 825次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>分享 | PCAN工具:强大的CAN通讯解决方案,<b class='flag-5'>你</b>了解多少?

    分享】利用ProfiShark 构建便携式网络取证工具包

    本文详细讨论了构建便携式网络取证工具包的必要性,并重点介绍了ProfiShark 1G — 一种高效、口袋大小的网络TAP设备。ProfiShark 1G以其出色的数据捕获能力、便携性和易用性,使其
    的头像 发表于 12-29 17:06 372次阅读