上海松江做网站的公司,商丘网站建设设计,厦门住房和城乡建设局,郑州最新发布1、概述
# 1#xff09;什么是 Volatility
Volatility是开源的Windows#xff0c;Linux#xff0c;MaC#xff0c;Android的内存取证分析工具。基于Python开发而成#xff0c;可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统…1、概述
# 1什么是 Volatility
Volatility是开源的WindowsLinuxMaCAndroid的内存取证分析工具。基于Python开发而成可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM数据进行提取与分析。
volatility 使用
volatility -f 文件名 --profile配置文件 插件 [插件参数]
# 2什么是objdump
objdump命令是Linux下的反汇编目标文件或者可执行文件的命令。objdump工具可以用来显示二进制文件的信息就是以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息。
# 3什么是BitDefenderbdscan
Bitdefenderbdscan是一款适用于Unix和Linux环境的防病毒扫描程序具有检测和删除特洛伊木马rootkit流氓软件广告软件垃圾邮件等功能。
# 4前提条件
已经通过Kali对MS10-061漏洞进行攻击取证收集
# 2、实验步骤
1确定Volatility的配置文件
2提取网络连接信息
3关联可疑网络连接与进程ID
4关联文件与进程ID
5关联DLL与后门程序
6扫描后门程序
# 3、配置分析环境
1登录到Kali 2设置 Volatility执行程序权限 3将Volatility路径添加到环境变量中 # 4 、确定要使用的Volatility 的配置文件
1查看取证文件 2查看镜像信息
vol.py imageinfo -f ms10_061.ddVolatility将检测镜像的操作系统版本信息需要一点时间耐心等待 检测结果提示建议的配置文件是WinXPSP2x86WinXPSP3x86在这儿我们用WinXPSP2x86好了
# 5、关联网络连接与进程ID
# 1检测网络连接
vol.py --profileWinXPSP2x86 -f ms10_061.dd connectionsvol.py --profileWinXPSP2x86 -f ms10_061.dd connscan //查看网络连接状态其中139是NetBIOS端口445是SMB端口9999是 Meterpreter会话 回连端口7777是Helix内存取证收集端口
其中 PID 392 就是Meterpreter会话回连进程的ID
# 2查看进程信息
vol.py --profileWinXPSP2x86 -f ms10_061.dd pslist | egrep (Offset|----------|392)其中PID进程号PPID是进程的父进程号
还可以用 pstree 以树形结构查看进程表 从进程中我们看到一个很可疑的进程名g9bMJIYNoBtyOS而且它还包括cmd的子进程
# 3使用dlllist显示进程加载的DLL
vol.py --profileWinXPSP2x86 -f ms10_061.dd dlllist | grep g9bMJIYNoBtyOS通过这一步分析我们可以得出以下结果
g9bMJIYNoBtyOS这个可疑的进程PID392连接到了远程主机192.168.1.34的9999端口而且目录是 C:\WINDOWS\system32
通常来说此目录C\ WINDOWS \ system32应仅包含系统特定的程序可执行文件和库DLL
# 6、关联文件与DLL
objdump g9bMJIYNoBtyOS.exe -x -D | grep DLL NameWSOCK32.dll 是一个用于网络连接TCP/IP连接的Windows库文件
# 7、从内存中查找隐藏的恶意程序
使用 malfind 参数分析进程ID
1首先在进程中搜索 svchost进程
svchost.exe 是承载多个Windows服务的系统进程
vol.py --profileWinXPSP2x86 -f ms10_061.dd pslist | grep svchost然后我们用 malfind 参数搜索进程中隐藏或注入的DLL/代码
vol.py --profileWinXPSP2x86 -f ms10_061.dd malfind -p 864,944拿svchost的进程ID进行查找没有发现
再拿可疑进程ID试试 这次显示了很多信息
# 8、使用BitDefender扫描可执行文件
bdscan --no-archive --actionignore g9bMJIYNoBtyOS.exe | tee ms10_061_bdscan.txt# 9、从注册表提取用户信息
使用 hivelist 参数在内存中找到注册表配置单元的虚拟地址以及在磁盘上的完整路径
1查找 system 和SAM两个注册表键值的虚拟地址
vol.py --profileWinXPSP2x86 -f ms10_061.dd hivelist | egrep (system$|SAM$)2然后通过 hashdump将文件保存出来 3提取管理员SAM文件 4使用John破解管理员密码
cat /dev/null /root/.john/john.pot //清除pot文件里面包含以前破解的密码
john --formatnt admin_sam.txt | tee admin_passwd.txt //--formatnt表示为WindowsNT密码#
