#本文仅供交流学习使用,切勿用于非法用途#
目录
1. 前言
2. 准备工作
3. 内存镜像解析
4. 踩过的坑和感悟
5. 技术要点总结
前言
某年月日,我司在项目中遇到了一个不太常见的需求:根据内存镜像解析电脑中的某即时通讯软件(即“某信”)的聊天信息。在与供应商进行沟通以后我们了解到,市面上国内外几款比较流行的取证软件虽然支持针对某信Windows端的解析,但是大多还是需要用户扫描二维码进行登录。对内存的解析只有一家产品支持,实际试用后也遗憾地失败了。事后分析可能是与操作系统及某信软件的版本有关。
然后我们又在网上进行了一系列的搜索。虽然确实查到许多资料描述如何解析某信数据库,但是其中对内存镜像进行解析的内容几乎为零。我们只能摸着前人的石头过河。所幸走了不少弯路以后还算有了一个比较满意的结果,这才有了这篇小文。
*对于Volatility内存分析工具有一定认识的朋友可以直接查看结尾的技术总结。
准备工作
某信登录后,使用FTK Imager制作笔记本电脑的内存镜像。
1. 登录某信
2.使用FTK Imager制作内存镜像
在这里有几个选项,是否需要保存pagefile(“Include pagefile”)以及是否需要制作AD1格式的镜像(“Create AD1 file”)。经过测试在解析密钥时并不需要这两个功能,所以为了节约时间我们这里就不用勾选了,毕竟pagefile的文件大小还是很惊人的。
这一步大概花费5到10分钟,根据内存的大小不同。
3. 导出待解密的数据库文件
拿到内存镜像后不要就觉得万事大吉了。密钥密钥光有钥匙没有门我们不是一顿白忙活?
请记得制作笔记本电脑镜像并从中导出某信数据库文件。具体步骤这里就略过了。
某信数据库的默认地