0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Windows内存取证知识浅析-上篇

哆啦安全 来源:我不懂安全 2023-11-29 09:28 次阅读

涉及的工具:

SysInfoTools-ost-viewer-pro
volatility_2.6_lin64_standalone
VT在线工具

使用到的镜像文件:

target1-1dd8701f.vmss
target2-6186fe9f.vmss
POS-01-c4e8f786.vmss

题干:

一名员工报告说,他的机器在收到一封可疑的安全更新电子邮件后开始出现奇怪的行为。事件响应团队从可疑计算机中捕获了几个内存转储,以供进一步检查。分析转储并帮助 SOC 分析师团队弄清楚发生了什么!

Target1

0x01 - 欺骗前台员工安装安全更新的电子邮箱是什么?

查看镜像信息

/volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss imageinfo

c46c139e-8e49-11ee-939d-92fbcf53809c.png

查看进程列表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pslist

c4760c28-8e49-11ee-939d-92fbcf53809c.png

因为题目已经说了,收到了电子邮件,所以直接看outlook.exe就可以;导出进程到dll目录下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -p 3196 -n -u -D ./dll

c4a09a1a-8e49-11ee-939d-92fbcf53809c.png

在翻垃圾的时候,翻到了几个ost.dat的文件,该文件其实就是微软的邮件的一种离线格式,当然了我说的是ost,与pts类似

c4baf018-8e49-11ee-939d-92fbcf53809c.png

这里可以不转换格式,直接用工具打开

c4e0aa60-8e49-11ee-939d-92fbcf53809c.png

也可以用我上一期的玩法,解包

readpst -S file.3196.0x84eed400.Frontdesk@allsafecybersec.com - outlook2.ost.dat

c51657dc-8e49-11ee-939d-92fbcf53809c.png

c5254508-8e49-11ee-939d-92fbcf53809c.png

0X02 - 电子邮件中用于钓鱼的文件叫什么名字?

c52e5b2a-8e49-11ee-939d-92fbcf53809c.png

0x03 - 恶意文件家族是什么?

上面获取到了下载地址,本来想直接拿着地址去比较的,发现还是天真了

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | grep AnyConnectInstaller.exe

c546df9c-8e49-11ee-939d-92fbcf53809c.png

随便导出一个

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df12dd0 -D ./

c5561cb4-8e49-11ee-939d-92fbcf53809c.png

下载之后的东西是带特殊后缀的,但是不影响通过md5值比对样本

md5sum file.None.0x85cd09a0.img

c56d0fb4-8e49-11ee-939d-92fbcf53809c.png

c5842956-8e49-11ee-939d-92fbcf53809c.png

c5b5970c-8e49-11ee-939d-92fbcf53809c.png

0x04 - 恶意软件似乎正在利用进程注入。被注入的进程的 PID 是多少?

这道题挺牵强的,仅仅是内存取证的话是很难分辨出究竟是哪一个程序可能存在进程注入的情况,这里面不是dll注入,所以使用检测dll注入的方式是不恰当的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree

c5c90dc8-8e49-11ee-939d-92fbcf53809c.png

c607d4f4-8e49-11ee-939d-92fbcf53809c.png

其实这里很多进程都存在子进程,所以单独借助vol是没办法确定究竟哪一个才是有问题的,看了下别人的解题思路,在vt有一处进程

c6196f34-8e49-11ee-939d-92fbcf53809c.png

恕我直言,这里面依然有很多其他的进程被创建,那为什么不能是svchost呢?
后来想起从发现的邮件里找到的ip地址

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan | grep "180.76.254.120"

c6601790-8e49-11ee-939d-92fbcf53809c.png

0x05- 恶意软件在计算机重新启动后依然能保持自启动是为什么?

此题其实就是在考验个人对恶意软件权限维持的一种理解,常规的恶意软件为了保证计算机重新启动后自己依然能平稳运行,特别是在windows系统里便采用了多种方式,比如说计算机启动项:

C:Users用户名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
注册表服务
计算机HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
计算机HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > output.txt


此命令可以将内存镜像里的文件目录信息导出来

c6709764-8e49-11ee-939d-92fbcf53809c.png

c68969b0-8e49-11ee-939d-92fbcf53809c.png

全局检索之后,没有在类似启动目录里发现,所以只能去找注册表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpregistry --dump ./regedist

c69c7cbc-8e49-11ee-939d-92fbcf53809c.png

使用工具读取注册表

c6d599f2-8e49-11ee-939d-92fbcf53809c.png

打扰了,后来发现可以直接在vt看到

c6e601ca-8e49-11ee-939d-92fbcf53809c.png

0x06 - 恶意软件通常使用唯一的值或名称来确保系统上只有一个副本运行。恶意软件使用的唯一名称是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 handles -p 2996 | grep "Mutant"

这里直接打印2996进程的资源句柄;Mutant解释如下:

在计算机科学中,"Mutant"是指一种同步原语或对象,用于实现并发编程中的互斥锁(Mutex)。Mutant 是 Windows 操作系统中对应于互斥锁的术语。

互斥锁(Mutex)是一种同步机制,用于控制多个线程对共享资源的访问。它提供了一种方法,确保在任何给定时间只有一个线程可以访问共享资源,从而避免数据竞争和不一致性。

在操作系统内核中,Mutant 是通过内核对象来实现的,用于协调进程间的互斥访问。它可以用来保护共享资源,以确保同一时间只有一个进程能够获取到该资源的访问权限。

c715105a-8e49-11ee-939d-92fbcf53809c.png

0x07 - 似乎一个臭名昭著的黑客在当前的攻击者之前就破坏了这个系统,你能说出这个黑客出自哪部电影吗?

这里是真没答上来,抄袭的大佬的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep -oP '(?<=\Users\)[^\]+' | sort -u

c7233d2e-8e49-11ee-939d-92fbcf53809c.png

这里我也不知道为什么人家直接定位/user ,但是根据人家的定位,看起来东西是在注册表里,所以就可以找注册表里的用户数据了
可以通过查看注册表software注册表

c75fd810-8e49-11ee-939d-92fbcf53809c.png

这个注册表的内容主要是用户的一些个人信息;这里仅仅是人家的名字,还得找电影,问题是我也没看过啊,找也不知道哪个是

c770ee98-8e49-11ee-939d-92fbcf53809c.png

0x08 - 管理员帐户的 NTLM 密码哈希是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  hashdump

c7978ec2-8e49-11ee-939d-92fbcf53809c.png

0x09 - 攻击者似乎已将某些工具转移到受感染的前台主机。攻击者转移了多少工具?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

c7a2b91e-8e49-11ee-939d-92fbcf53809c.png

此题应该是衔接下题,上传的工具应该是破解hash用的,按理说是4个,看了下别人的答案实际是3个

c7ecddfa-8e49-11ee-939d-92fbcf53809c.png

后来去github上搜了一下,发现有俩工具其实给算的一个工具

c8209ece-8e49-11ee-939d-92fbcf53809c.png

0x10 - 前台本地管理员帐户的密码是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

c8376a5a-8e49-11ee-939d-92fbcf53809c.png

0x11 - nbtscan.exe工具的创建时间戳是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  timeliner | grep 'nbtscan'

c864e02a-8e49-11ee-939d-92fbcf53809c.png

0x12 - 攻击者似乎已将nbtscan.exe工具输出存储在名为nbs.txt的文本文件中。该文件中第一台计算机的 IP 地址是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep "nbs.txt"

c87e49c0-8e49-11ee-939d-92fbcf53809c.png

导出文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fdb7808 -D ./out

c8a68174-8e49-11ee-939d-92fbcf53809c.png

c8bd30c2-8e49-11ee-939d-92fbcf53809c.png

0x13- 攻击者使用的完整 IP 地址和端口是什么?


这里使用netscan查看所有的网络连接状态

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan

c9671e70-8e49-11ee-939d-92fbcf53809c.png

为什么圈出这个呢,因为第2题中,我们在攻击者的电子邮件中就已经获取到了这个ip地址,并且我们在第四题中得出攻击者利用iexplore.exe进程进行了进程注入,同时我们在第12题得知的ip地址也能对上,所以答案就出来了

0x14 - 看来攻击者还安装了合法的远程管理软件。正在运行的进程的名称是什么?

这里在第13题最后面就看到了TeamViewer.exe ,或者可以执行pslist

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   pslist

c9d510f6-8e49-11ee-939d-92fbcf53809c.png

至于这里为什么一定是TeamViewer,请看继续分析

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   cmdline

c9f50960-8e49-11ee-939d-92fbcf53809c.png

我们从这里看到了一个log日志,我们可以排查一下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   filescan | grep TeamViewer10_Logfile.log

然后导出这四个文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fa2e2d8,0x000000003fa564e0,0x000000003fc9b038,0x000000003fd5bbb8 -D ./TVlog

ca2e5756-8e49-11ee-939d-92fbcf53809c.png

我们将log文件导出来之后,就可以进去看一下,还好里面的日志不是很大,我们发现了里面的ip地址,与我们之前看到的攻击者ip地址对应了,所以这道题的答案也就呼之欲出了

ca49f2a4-8e49-11ee-939d-92fbcf53809c.png

0x15 - 攻击者似乎还使用了内置的远程访问方法。他们连接的IP地址是什么?

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan | grep 3389

ca930372-8e49-11ee-939d-92fbcf53809c.png

第一个被攻击的机器暂时告一段落了,下一期将继续衔接此处,第一题可以看出来,攻击者进行了内网的横向移动,那么下一期将会继续进行溯源取证





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • soc
    soc
    +关注

    关注

    38

    文章

    4163

    浏览量

    218170
  • WINDOWS
    +关注

    关注

    3

    文章

    3541

    浏览量

    88631
  • POS
    POS
    +关注

    关注

    3

    文章

    119

    浏览量

    28311

原文标题:Windows内存取证-中等难度-上篇

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    WiFi基础知识解析

    一、wifi基础1、详细见如下链接(1)WiFi基础知识解析(2)WiFi基本知识(3)11种物联网协议简介,如WiFi、蓝牙、ZigBee、蜂窝等 二、wifi模块浅析1、WiFi模块浅析
    发表于 08-05 08:10

    Windows XP操作系统内存条优化指南

    Windows XP操作系统内存条优化指南 虽然Windows XP是一个很出色的操作系统,但它对内存的要求是在是惊人,即使是128兆内存
    发表于 01-11 11:45 726次阅读

    计算机取证工具及方式

    本内容讲述了计算机取证技术,如何进行计算机取证,计算机取证工具及方式等知识
    发表于 05-07 15:11 4311次阅读

    Windows CE 进程、线程和内存管理三

    三、内存管理 同其它Windows操作系统一样,Windows CE.NET也支持32位虚拟内存机制、按需分配内存
    发表于 11-08 10:30 0次下载
    <b class='flag-5'>Windows</b> CE 进程、线程和<b class='flag-5'>内存</b>管理三

    DMA—直接内存存取

    【*】程序简介 -工程名称:DMA直接内存存取 -实验平台: 秉火STM32 F429 开发板 -MDK版本:5.16 -ST固件库版本:1.5.1 【 !】功能简介: 使用DMA把内存数据传输
    发表于 12-13 15:09 9次下载

    基于内存云的大块数据对象并行存取策略

    了基于内存云的大块数据对象并行存取策略。该存储策略首先将大块数据对象分割成若干个1 MB的小块数据对象,然后在客户端生成数据摘要,最后使用并行存储算法将客户端分割成的小块数据对象存储在内存云集群中。读取时首先读取数据摘要,然后根
    发表于 12-17 11:02 0次下载
    基于<b class='flag-5'>内存</b>云的大块数据对象并行<b class='flag-5'>存取</b>策略

    内存取证的内核完整性度量方法

    额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象
    发表于 01-10 14:52 2次下载

    基于浮点系列芯片ADSP2106x中的直接内存存取技术研究

    直接内存存取(DMA)对计算机系统是非常重要的。它可以使CPU在运行指令的同时,系统能实现从外部存储器或设备中存取数据,也可以在CPU不参与的情况下,由专用的DMA设备存取数据。
    发表于 07-10 19:21 1177次阅读
    基于浮点系列芯片ADSP2106x中的直接<b class='flag-5'>内存</b><b class='flag-5'>存取</b>技术研究

    电路板电镀基础知识汇总(上篇)资料下载

    电子发烧友网为你提供电路板电镀基础知识汇总(上篇)资料下载的电子资料下载,更有其他相关的电路图、源代码、课件教程、中文资料、英文资料、参考设计、用户指南、解决方案等资料,希望可以帮助到广大的电子工程师们。
    发表于 04-02 08:42 15次下载
    电路板电镀基础<b class='flag-5'>知识</b>汇总(<b class='flag-5'>上篇</b>)资料下载

    简述SCL -CPU内存区域的索引存取

    也能够用一外索引来存取CPU的内存区域。与绝对地址比较,此方式的优点是能够用变量索引动态寻址。例如,能够将FOR循环的控制变量用作地址。 执行索引存取内存区域与绝对方式的做法一样,仅提
    的头像 发表于 04-16 10:45 2332次阅读
    简述SCL -CPU<b class='flag-5'>内存</b>区域的索引<b class='flag-5'>存取</b>

    Windows驱动类型及基础知识

    Windows驱动类型及基础知识
    发表于 07-14 10:02 14次下载

    SCL-CPU内存区域的索引存取

    执行索引存取内存区域与绝对方式的做法一样,仅提供了地址的长处。取代绝对地址,指定的索引能够是一个常量、一个变量或一个算术表达式。
    的头像 发表于 06-02 16:11 1558次阅读

    Volatility取证大杀器

    Volatility是一款开源的内存取证软件,支持Windows、Mac、linux(kali下等等)环境下使用。并且分别有Volatility2与Volatility3两个大版本,依次需要在py2、py3的环境下进行使用,也要确保系统中已安装环境,安装pycrpto库函
    的头像 发表于 10-28 11:19 3265次阅读

    初识内存取证-volatility与Easy_dump

    Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证
    的头像 发表于 03-01 13:39 3172次阅读

    虹科分享 | 关于内存取证你应该知道的那些事

    什么是内存取证内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字
    的头像 发表于 08-01 11:21 1547次阅读
    虹科分享 | 关于<b class='flag-5'>内存取证</b>你应该知道的那些事