后渗透篇:利用Volatility进行入侵痕迹分析

最新推荐文章于 2024-06-25 15:51:53 发布
最新推荐文章于 2024-06-25 15:51:53 发布
阅读量3.1k 收藏 6
点赞数
原文链接:https://blog.csdn.net/God_XiangYu/article/details/100058888
版权

本文利用Volatility进行内存取证,分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等。

环境准备:
Kali2中自带Volatility(版本2.4),可下载最新版本2.6,下载即可使用。
下载地址:https://github.com/volatilityfoundation/volatility
windows系统可使用DumpIt等制作镜像。

本为以window系统镜像为例,简单模拟了一次入侵行为,然后利用Volatility进行分析:

0x01查看网络连接
netscan 查看网络连接情况

python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 netscan

    0x02查看进程

    pslist、psxview可查看进程,其中psxview可查看一些隐藏进程

    python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 pslist
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 psxview
  
  
    
  
  
    • 1

    0x03查找进程注入
    malfind 查找隐藏或注入的代码/ DLL

    python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 malfind

      可看到进程pid为620的svchost.exe存在异常:

      0x04提取文件

      memdump 提取进程在内存中的信息保存到文件中 –D 指定保存的目录
      procdump 提取进程的可执行文件
      提取出文件后,可以到www.virustotal.com进行检验

      python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 procdump -p 620 -D dump
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 memdump -p 620 -D dump   #时间较长,文件较大
  
  
      
  
  
      • 1


      成功检测出提取的文件有Meterpreter攻击痕迹:

      0x05yarascan 检测Meterpreter
      上面通过memdump 提取pid为620的进程,可检测出Meterpreter攻击痕迹,还可以通过YARA进行检测。yarascan 可利用YARA规则进行检测 -Y 指定自定义的规则,-y 指定包含YARA规则。通过文章(http://cyberforensicator.com/2018/03/11/finding-metasploits-meterpreter-traces-with-memory-forensics/) 的规则学习,可进行检测Meterpreter攻击痕迹。

      python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 yarascan -y fm.yara

        fm.yara文件如下

        rule Find_Meterpreter
{
    meta:
        desrciption = "it's the Meterpreter!"
    strings:
        $a = { 6D 65 74 73 72 76 2E 64 6C 6C 00 00 52 65 66 6C 65 63 74 69 76 65 4C 6F 61 64 65 72 }
        $b = "stdapi_" ascii nocase

        condition:
    $a and $b

        }

        • 1
        • 2
        • 3
        • 4
        • 5
        • 6
        • 7
        • 8
        • 9
        • 10


        成功检测到Meterpreter攻击痕迹:

        0x06查看&提取DLL

        dlllist 查看dll文件
        ldrmodules 可查看一些隐藏的dll
        dlldump 提取dll文件
        提取出dll文件后,可以到www.virustotal.com进行检验

        python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 dlllist -p 1656
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 dlldump -p 1656 -D dump
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 ldrmodules
 
 
        
 
 
        • 1
        • 2



        成功检测出提取出来的可疑dll文件:

        0x07查看文件句柄
        handles 查看进程打开的handles

        python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 handles -p 620 -t file

          0x08查看cmd历史命令

          cmdscan 查看内存中保留的 cmd 命令使用情况,还可以看到powershell命令

          python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 cmdscan

            0x09查看IE浏览器历史记录

            1)iehistory插件
            iehistory 可查看IE浏览中的历史记录,但是有时会出bug,查看不到信息

            python vol.py -f /root/lltest/PC-20170527XAOD-20180410-073551.raw --profile=Win7SP1x86 iehistory

              2)yarascan搜索记录
              可以先找到iexplore进程,然后通过yarascan来定义YARA规则进行搜索IE浏览器历史记录

              python vol.py -f /root/lltest/PC-20170527XAOD-20180410-073551.raw --profile=Win7SP1x86 pslist | grep iexplore
python vol.py -f /root/lltest/PC-20170527XAOD-20180410-073551.raw --profile=Win7SP1x86 yarascan -Y "/(URL|REDR|LEAK)/" -p 1904,220,3276,3676
 
 
              
 
 
              • 1

              查看iexplore进程pid:

              成功检测到ie历史记录:

              3)memdump & strings提取记录
              还可以通过memdump提取iexplore进程中的信息到文件中,然后通过strings来搜索IE浏览器历史记录

              python vol.py -f /root/lltest/PC-20170527XAOD-20180410-073551.raw --profile=Win7SP1x86 memdump -p 1904,220,3276,3676 -D dump
strings dump/1904.dmp | grep -i http:// | sort | uniq -u
 
 
              
 
 
              • 1

              根据pid提取iexplore进程文件:

              strings成功提取到ie历史记录:

              0x10查看注册表
              printkey可查看指定注册表项信息
              1)查看启动项

              python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 printkey -K "Microsoft\Windows\CurrentVersion\Run"

                2)查看用户

                python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

                  3)shimcache信息查看

                  ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间。

                  python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 shimcache

                    4)userassist信息查看
                    userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等。

                    python vol.py -f /root/lltest/PC-20170527XAOD-20180407-042003.raw --profile=Win7SP1x86 userassist

                      0x11查看服务svcscan
                      svcscan查看服务

                      python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 svcscan

                        0x12查看内核驱动模块
                        modules 查看内核驱动
                        modscan、driverscan 可查看一些隐藏的内核驱动

                        python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 modules
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 modscan
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 driverscan
 
 
                        
 
 
                        • 1
                        • 2

                        0x13查看文件
                        filescan 可查看 一些rootkit隐藏文件

                        python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 filescan  #可查看 一些rootkit隐藏文件

                          0x14查看时间线cmdliner
                          timeliner 查看各组件时间线。 输出会很多,建议输出到指定文件中

                          python vol.py -f /root/lltest/PC-20170527XAOD-20180407-042003.raw --profile=Win7SP1x86 timeliner --output=text --output-file=out1.txt

                            当然,volatility还有许多命令和插件,本文只是抛砖引玉,简单写了一些常用方式。

                            参考
                            https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
                            http://cyberforensicator.com/2018/03/11/finding-metasploits-meterpreter-traces-with-memory-forensics/
                            https://eforensicsmag.com/finding-advanced-malware-using-volatility/
                            https://volatility-labs.blogspot.com/2012/09/howto-scan-for-internet-cachehistory.html

                                                            </div>
                            bylfsj
                            关注
                            • 0
                              点赞
                            • 6
                              收藏
                              觉得还不错? 一键收藏
                            • 3
                              评论
                            专栏目录
                            Windows日志识别入侵痕迹
                            01-11 2万+
                            有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗?答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。不同的攻击场景会产生不一样的系统日志,不同的Event ID代表了不同的意义,需要重点关注一些事件I...
                            kali环境运行volatility分析android内存文件,缺profile,如何解决??
                            **My Coding Family**
                            05-21 889
                            ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这文章对你有所帮助,帮忙给bugj菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;
                            Linux系统入侵痕迹分析取证
                            留记
                            08-28 8567
                            获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
                            Web服务器入侵痕迹检测
                            oceanark的博客
                            07-13 3592
                            web站点默认80为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部,以下是Zenomorph对一些80端口攻击方式的痕迹的研究,和告诉你怎样从日志记录中发现问题。 详细描述 下面部分通过一些列子,展示对web服务器和其上的应用程序普遍的攻击,和其留下的痕迹,这些列子仅仅是代表了主要的攻击方式,并没有列出所有的攻击形式,这部分将
                            攻击取证--至此全
                            darui_csdn的博客
                            06-25 83
                            我们刚刚看到了如何使用 Volatility 插件来分析存在漏洞的 VM 快照,通过检查正在使用的命令和进程来分析用户,并转储密码散列。但是由于您可以编写自己的自定义插件,所以只有您的想象力才能限制您可以用 Volatility 做什么。如果您需要根据从标准插件找到的线索中获得额外的信息,那么您可以制作自己的插件。只要您遵循 Volatility 团队的模式,就可以很容易地创建插件。您甚至可以让您的新插件调用其他插件,从而使您的工作更加容易。passpasspass这里的主要步骤是创建从。
                            Linux入侵痕迹检测方案【华为云技术分享】
                            华为云官方博客
                            09-02 2168
                            背景说明 扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机、操作系统是什么版本、开放了哪些服务等。扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描、端口扫描和服务扫描技术做一个简要分类与概述。 活动主机扫描可分为两类:1)ICMP echo扫描与Broadcast ICMP扫描;端口扫描也分为两类:1)开放扫描,这类扫描会产生大量的审计数据,...
                            入侵检测简单介绍
                            m0_48944871的博客
                            05-05 1904
                            新手上路,多多關照~
                            chrome_ragamuffin:使用Volatility的Google Chrome内部分析
                            01-31
                            树可以以文本(对节点结构进行深入概述)和点(对树进行分层概述)模式呈现。 此外,我们还可以获取有关用户导航的一些详细信息(访问的URL,重定向链,请求方法,iframe /表单等),而无痕模式不会带来任何限制。...
                            volatility3-develop-内存镜像分析工具
                            最新发布
                            06-30
                            Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名...
                            MalConfScan:Volatility插件,用于提取已知恶意软件的配置数据
                            02-05
                            Volatility是用于事件响应和恶意软件分析的开源内存取证框架。 该工具在内存映像中搜索恶意软件并转储配置数据。 此外,该工具还具有列出恶意代码引用的字符串的功能。 受支持的恶意软件家族 MalConfScan可以转储...
                            一个雏形,一个基于Volatility进行可视化、自动化内存镜像分析的工具.zip
                            02-19
                            对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同...
                            Windows主机入侵痕迹排查办法
                            Python_0011的博客
                            03-18 903
                            技能都是需要动手的,然后思路需要清晰,操作要细致,跟客户要保持沟通,切记不能闷着擅自操作!为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!因幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享因幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
                            (9.4)【数据隐藏】取证方法:网络入侵监测系统
                            06-07 429
                            【数据隐藏取证】分析残留在计算机中信息
                            HW蓝队|应急响应常见入侵痕迹检查
                            hackzkaq的博客
                            04-07 1293
                            应急响应常见入侵痕迹检查
                            内存取证-volatility工具的使用 (史上更全教程,更全命令)
                            热门推荐
                            路baby的博客
                            10-20 7万+
                            内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
                            金砖技能大赛-应急响应-内存镜像分析-进程分析
                            WEB渗透测试 从入门到萌新
                            09-30 4925
                            作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
                            volatility常用的命令
                            菜菜的博客
                            09-30 2266
                            Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
                            cmd常用命令
                            骑个小蜗牛的博客
                            11-23 2538
                            CMD一般指命令提示符,是Win32命令,只能在32位系统中的命令行窗口中使用,仅仅是基于windows环境下的假DOS。 两者所用的命令行代码也是共用的,只是CMD文件中允许使用的命令要比bat文件多。 注意:cmd命令不区分大小写 常用命令 1.cd D: //进入d盘 F: //进入F盘 cd /? //获取使用帮助 cd \ //跳转到硬盘的根目录 cd C:\WINDOWS //跳转到当前硬盘的其他文件 d: //跳转到其他硬盘 cd /d e
                            内存取证_VolatilityGUI做CTF内存取证题
                            weixin_32924159的博客
                            01-12 1893
                            Volatility,内存取证工具,一直以来都很“清高”地以命令行方式“行走江湖”,完全不顾自己“参数众多”这个“爆炸”形象,有种“任我行”的味道,直接影响“我等小白”的用户体验。自2018年作者根据用户需求开发了GUI界面以来,受到了热烈地、广泛地欢迎,最近抽空升级改造,形成了目前的2.0版本。现结合一个CTF的内存取证题来做个功能讲解。一、程序界面 一眼看去,界面上功能...
                            评论 3
                            添加红包

                            请填写红包祝福语或标题

                            红包个数最小为10个

                            红包金额最低5元

                            当前余额3.43前往充值 >
                            需支付:10.00
                            成就一亿技术人!
                            领取后你会自动成为博主和红包主的粉丝 规则
                            hope_wisdom
                            发出的红包
                            实付
                            使用余额支付
                            点击重新获取
                            扫码支付
                            钱包余额 0

                            抵扣说明:

                            1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
                            2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

                            余额充值