linux取证之内存取证

最新推荐文章于 2024-05-15 02:25:35 发布
最新推荐文章于 2024-05-15 02:25:35 发布
阅读量2.8k 收藏 10
点赞数 2
分类专栏: 恶意代码取证 文章标签: linux 内存取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81119833
版权

内存取证

  1. 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。
  2. 传统方法: 可读的文本和关键字搜索
  3. 工具: Volatility:内存扫描分析工具
    • Volatility 提供两种方法来列举内存映像中的进程,一种方法是访问操作系统内核结构中的进程链来列举进程,另一种方法是在内存映像中搜索所的EPROCESS结构
    • 命令:python volatility pslist -f Futo-memory.dd,这种方法可以利用rootkit程序欺骗操作系统的方法瞒过程序
    • 为了对抗上述方法,采用:python volatiliy psscan -f Futo-memory.dd 在内存中映像中根据EPROCESS数据结构的特征搜索所有的EPROCESS结构来输出完整的进程信息,pssacn得到的输出可以显示已退出进程的信息。
    • 大部分的用户进程都是由explorer.exe 启动的,如果某个进程不是由它启动的则就可以进行深入分析。
    • volatility dllist -f FTTo-memory.dd 可以列举出系统中每个进程的所有DLL动态链接库
    • volatility files -f FTTo-memory.dd 显示每个进程正在访问的文件
    • volatility sockets -f FTTo-memory.dd 显示每个进程的套接字句柄
  4. 方法学(内存取证的目的):
    • 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析
    • 对于每个可疑的进程,如果可以,从内存中恢复出其可执行代码用于深度分析
    • 对于每个可疑进程,从内存中提取出相关的数据,例如相关的秘钥或是用户名和密码等数据。
  5. 传统内存分析方法:
    • 利用strings工具从内存映像中提取出可读文本内容
    • 利用文件提取工具从内存中恢复相关的可执行文件
  6. Linux 内存取证分析
    1. Linux系统内核使用的所有符号的位置都由/boot 目录中的文件System.map来记录
    2. Linux系统的当前时间保存在System.map文件中的xtime变量中:grep xtime System.map
      • 在Kali中执行时遇到错误:Input/output error
    3. 定位内存数据结构(没看懂)
      • init_task :grep init_task System.map 错误同上
      • 上述查到的地址应该是个虚拟地址,需要将其转换成物理地址,在Inter系统中通常能够支持4GB的内存空间,其中高位的1GB空间被分配给内核使用,因此虚拟地址从0xC0000000开始,将虚拟地址减去0xC0000000 就可以将虚拟地址转换成对应的物理地址。
NFMSR
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内存镜像取证,Linux内存取证工具Volatility的使用
weixin_42361070的博客
05-03 724
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1362
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
linux 内存取证_内存取证工具volatility
weixin_29256771的博客
01-17 1137
猜测dump文件的profile值root@kali:~/CTF# volatility -f mem.vmem imageinfoVolatility Foundation Volatility Framework2.6INFO : volatility.debug : Determining profile based on KDBG search...Suggested Prof...
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(1)
最新发布
2401_85013565的博客
05-15 797
输入vol.py --h 查看官方做出的帮助翻译如下用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件-d, --debug 调试Volatility--plugins=PLUGINS 要使用的其他插件目录(冒号分隔)--info 打印所有注册对象的信息存放缓存文件的目录--cache 使用缓存。
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
linux内存取证,基于Linux内核的内存取证系统的研究
weixin_35253082的博客
05-11 164
摘要:计算机取证(computer forensics)是数字取证学科的一个分支,其通过相关的手段对计算机系统或者数字存储介质进行识别,保存,恢复和分析,获取到计算机犯罪罪行的直接证据或者间接证据,在司法取证过程中有着重要的作用. Windows操作系统的用户众多,目前的取证大多是针对于Windows操作系统,而随着计算机的发展,Linux操作系统的用户也在逐渐上升,对于Linux操作系统的...
内存取证_CTF
a1912993110的博客
09-15 2454
内存取证 获取内存镜像信息,获取系统版本 volatility -f 1.raw imageinfo 查看进程信息 volatility -f 1.raw --profile=WinXPSP2x86 pslist 留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) 3.查看cmd.exe的使用情况 volatility -f 1.raw --profile=WinXPSP2x86 cmdscan 4. 查看notepad.exe
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
volatility linux 计算机取证
07-11
总之,Volatility是Linux计算机取证中不可或缺的工具,它能够深入系统内存,揭示隐藏的行为和敏感信息,为安全专家和法医调查人员提供关键线索。通过掌握和熟练使用Volatility,可以在网络安全防御和犯罪调查中发挥...
内存取证的框架
01-20
Volatility是一款开源的内存取证工具,广泛应用于Linux、Windows和Mac OS等操作系统。它的功能包括但不限于: 1. **进程枚举**:Volatility可以列出系统中运行的所有进程,包括隐藏或非活动的进程,这有助于发现...
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
内存取证工具及依赖.rar
08-17
在本压缩包文件"内存取证工具及依赖.rar"中,我们重点关注的是在Kali Linux环境中使用的内存取证工具,这些工具依赖于Python 2版本。 Kali Linux是一款基于Debian的开源操作系统,专门设计用于网络安全测试和渗透...
内存取证艺术(英文pdf)
11-07
### 内存取证艺术 #### 一、内存取证概述 内存取证是一门研究如何通过分析计算机内存(RAM)中的数据来解决数字犯罪的技术。随着网络安全威胁的不断升级,内存取证成为了数字取证和事件响应领域中的一项重要技能。...
linux内存取证,Linux内存取证工具Volatility的使用
weixin_29358053的博客
05-11 258
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
内存取证
welcome.php
05-10 356
如有错误,希望大佬及时指出。 工具:volatility(如果找不到windows版本,可以使用kali linux自带的) volatility.exe -f I:\安装包\新建文件夹\电子取证\内存镜像_爆破-判断内存所处的系统-获得所有用户名和密码Hash,并解hash\ch2.dmp imageinfo volatility -f 镜像名称 imageinfo 用来自动分析内存所属的操作...
浅析内存取证
Lemon's blog
10-16 8329
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
Linux 内存取证之常识问题
NFMSR的博客
08-10 722
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...
linux内存取证例题
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值