内存分析—Windows

已于 2024-08-18 16:31:22 修改
阅读量1.1k 收藏 16
点赞数 17
分类专栏: 网络安全应急响应 文章标签: 安全
于 2024-08-18 16:30:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53008479/article/details/141298456
版权

目录

介绍

1、从计算机进行内存捕获可以通过多种方式完成,处于打开状态的计算机可以使用以下工具之一捕获内存:
FTK Imager
Redline
DumpIt.exe
win32dd.exe / win64dd.exe
这些工具通常会输出一个 .raw 文件,其中包含系统内存的镜像。 .raw 格式是最常见的内存文件类型之一。

2、只要驱动器未加密,处于关闭状态机器就可以相对轻松地提取内存。对于 Windows 系统,可以通过拉取以下文件来完成:%SystemDrive%/hiberfil.sys

hiberfil.sys,是Windows 休眠文件。包含上次启动的压缩内存映像。 Microsoft Windows 系统使用它来提供更快的启动时间。

步骤

cridex.vmem

打开桌面案例的neicun文件夹,输入命令volatility -f MEMORY_FILE.raw imageinfo,查看内存镜像的Suggested Profile
在这里插入图片描述
针对Suggested Profile,依次使用命令volatility -f MEMORY_FILE.raw --profile=PROFILE pslist查看结果
使用WinXPSP2x86作为系统配置
在这里插入图片描述
在这里插入图片描述

使用WinXPSP3x86作为系统配置
在这里插入图片描述

根据Suggested Profile可以判断WinXPSP2x86是此镜像对应的profile

根据pslist命令的显示可以判断smss.exe 进程的进程 ID为368,

输入volatility -f MEMORY_FILE.raw --profile=PROFILE psxview查看有进程是否只有一列是False
在这里插入图片描述

输入volatility -f MEMORY_FILE.raw --profile=PROFILE ldrmodules进一步查看隐藏的恶意进程的被注入情况

可以看到除System外,只有csrss.exe的进程三列均为False,和上一步相对应
在这里插入图片描述

通过volatility -f MEMORY_FILE.raw --profile=PROFILE ldrmodules | findstr False进一步缩小范围
在这里插入图片描述

输入命令volatility -f MEMORY_FILE.raw --profile=PROFILE malfind将存在恶意代码的进程显示,一共显示在屏幕上有12个进程
在这里插入图片描述

可以通过volatility -f MEMORY_FILE.raw --profile=PROFILE malfind -D 文件夹将所有存在恶意代码的进程分别转储

先在同级目录下创建文件夹
在这里插入图片描述

在这里插入图片描述

输入命令volatility -f MEMORY_FILE.raw --profile=PROFILE --pid=PID dlldump -D 文件夹,将csrss.exe进程的dll导出

创建dlldump文件夹
在这里插入图片描述
在这里插入图片描述

总结

cridex.vmem

1、首先,需要弄清楚需要使用什么配置文件。配置文件决定了 Volatility 如何处理内存映像,因为每个版本的 Windows 都有点不同。使用命令 volatility -f MEMORY_FILE.raw imageinfo 查看推荐选项

2、在 Volatility 中运行 imageinfo 命令可能会提供许多可以测试的配置文件,但是,只有一个是正确的。可以使用 pslist 命令测试这些配置文件,通过返回结果的绝对数量来验证配置文件选择。使用命令 volatility -f MEMORY_FILE.raw --profile=PROFILE pslist 执行此操作。

3、检查镜像文件中的进程。(除了检查进程信息,还可以查看创建镜像时的网络连接。使用命令 volatility -f MEMORY_FILE.raw --profile=PROFILE netscan 来执行此操作。此镜像由于目标操作系统的年代久远,netscan 命令不支持。)

4、恶意程序试图隐藏自身及其衍生进程是相当常见的。通过命令“psxview”查看有意隐藏的进程。

5、除了通过 psxview 查看隐藏的进程,还可以通过命令“ldrmodules”更集中地检查。这里中间会出现三列,InLoad、InInit、InMem。如果其中任何一个是错误的,则该模块可能已被注入。

6、当检查计算机时,进程并不是唯一值得关心的领域。使用“apihooks”命令,我们可以查看DLL 中的意外补丁。如果看到一个 Hooking module: 的实例,那就证明计算机已经被攻击者完全利用。这个命令需要一段时间才能运行结束,但将显示恶意软件引入的所有无关代码。

7、注入的代码可能是一个巨大的问题。使用命令 malfind 来检查这一点。使用完整命令 volatility -f MEMORY_FILE.raw --profile=PROFILE malfind -D <Destination Directory> 不仅可以找到此代码,还可以将其转储到我们指定的目录中。

8、最后可以查看加载到内存中的所有 DLL。DLL 是在系统进程中使用的共享系统库。这些通常受到劫持和其他侧载攻击,是取证中关键的检查点。使用命令 dlllist 列出内存中的所有 DLL

9、可以看到所有在内存中运行的 DLL,使用命令 volatility -f MEMORY_FILE.raw --profile=PROFILE --pid=PID dlldump -D <Destination Directory> 执行此操作,其中 PID 是我们之前确定的受感染进程的进程 ID

山兔1
关注
专栏目录
windows问题分析内存
longkuis的专栏
09-16 1636
windows 内存分析,故障排查
全面介绍Windows内存管理机制及C++内存分配实例(一):进程空间
热门推荐
北海-叶明的专栏
01-16 2万+
本文背景:在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。本文目的:对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。本文内容:本文一共有六节,由于篇幅较多,故按节发表。其他章节请看本人博客的Windows
内存分析
aed97713的博客
04-22 88
1. 栈与堆:生存空间 1.1 在java中,程序员会在乎内存中的两种区域:对象的生存空间堆(heap)和方法调用及变量的生存空间(stack)。 1.2 我们知道所有的对象都存活于可垃圾回收的堆上,但是我么还没看过变量的生存空间。而变量存在于哪一个空间要看它是哪一种变量而定。 这里说的“哪一种”不是它的类型,而是实例变量或局部变量。后者这...
内存解析
小沐CA
03-29 256
内存解析 1.java虚拟机的内存可以分为三个区域:栈stack、堆heap、方法区method area 栈的特点如下: 1.栈描述的是方法执行的内存模型,每个方法被调用都会创建一个栈帧(存储局部变量、操作数、方法出口等) ...
C# Winform windows运行内存释放
03-26
3. **内存诊断工具**:开发者可能使用了Visual Studio或其他工具来分析内存分配和泄漏,确保程序在释放内存时不会出现问题。 4. **优化代码**:除了直接释放内存,优化代码也可以减少不必要的内存占用。例如,避免...
Windows内存管理的内核源码详细分析-综合文档
05-22
深入分析Windows内存管理的内核源码,我们需要对x86/x64架构的处理器指令集、页表结构、以及Windows的体系结构有深入理解。源码中涉及的数据结构,如内存分配链表、页表项、工作集结构等,都需要仔细研究。同时,...
Windows内存泄漏排查工具
07-18
总的来说,LeakDiag和LDGrapher是Windows平台上强大的内存泄漏排查工具,它们结合了文本报告和图形化的分析,为开发者提供了一套全面的解决方案,以应对内存管理中的挑战。通过熟练运用这些工具,开发者可以有效地...
windows程序内存泄漏分析工具可定位具体代码行
04-26
一款公司内部使用基于windows下UMDH工具进行栈追踪,进而具体定位程序内存泄漏代码行的极简工具。适合测试、维护、售后技术及开发人员使用。快速定位代码行避免重复输入命令,自动生成分析报表,提高维护效率。目前...
内存分析详解——程序执行的内存变化过程
迷路的小绅士之家
08-01 710
class Person{ private String name; private int age; private static String contry = &quot;cn&quot;; Person(String name,int age){ this.name = name; this.age = age; } public...
内存分析工具内存分析工具内存分析工具
10-29
内存分析工具内存分析工具内存内存分析工具析工具
windows 及服务器内存查询、分析、检测工具合集
11-18
DynCache,RAMMap,Strings,WIN2008刷新缓存工具SetSystemFileCache。 Windwos Server 2008 中出现物理内存占用极高甚至宕机,但任务管理器中各进程的内存占用并不多,查来查去也不知道什么原因的情况。使用RAMMAP的工具检查,发现这些内存被Metafile占用了,经查阅Metafile是系统缓存的一部分同时也包含了NTFS的数据。。此问题可能是由于Server 2008中为保证服务器性能不限制系统缓存,服务器系统长时间执行I/O,系统文件缓存不断占用物理RAM造成,现在通过限制系统缓存大小来解决。
POOLMON 内存分析工具
01-29
WINDOWS 内存泄露分析工具 。经典工具!!!!!!!
hiberfil.sys pagefile.sys
最新发布
06-05
`hiberfil.sys` 和 `pagefile.sys` 都是 Windows 操作系统中用于管理虚拟内存的文件,但它们的作用不同。 1. **hiberfil.sys** (Hibernate File): 这是一个由 Windows 提供的磁盘映射文件,通常位于系统的休眠路径(如 `%systemdrive%\hiberfil.sys`),它是Hibernate功能的核心。Hibernate是一种将电脑的当前状态保存到硬盘的技术,这样当系统重启时,可以快速恢复到之前的状态,类似于一个深度睡眠模式。当启用Hibernate时,系统会将内存中的所有数据写入这个文件,然后关闭电源。 2. **pagefile.sys** (虚拟内存交换文件): 这是一个动态扩展的交换文件,也称为页面文件或 swap 文件,位于 Windows 的系统分区上。Windows 使用它作为物理内存不足时的数据存储区,将不需要立即访问的数据从RAM移到硬盘,当需要这些数据时再从硬盘读取回内存。这可以帮助缓解内存压力,提高系统的整体性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值