应急响应-内存分析

最新推荐文章于 2024-05-16 09:42:01 发布
最新推荐文章于 2024-05-16 09:42:01 发布
阅读量422 收藏 10
点赞数 6
分类专栏: 应急响应 文章标签: 安全 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50765147/article/details/135892152
版权

在应急响应过程中,除了上述几个通用的排查项,有时也需要对应响应服务器进行内存的提权,从而分析其中的隐藏进程。

内存的获取

内存的获取方法有如下几种:

  • 基于用户模式程序的内存获取;
  • 基于内核模式程序的内存获取;
  • 基于系统崩溃转储的内存获取;
  • 基于操作系统注入的内存获取;
  • 基于系统休眠文件的内存获取;
  • 基于虚拟化快照的内存获取;
  • 基于系统冷启动的内存获取;
  • 基于硬件的内存获取。
常用的内存获取
基于内核模式程序的内存获取
  • 这种获取方法一般需要借助相关的工具来完成。常用的提权工具有Dumpit、Redline、RAM Capturer、FTK Imager等。图分别为RAM Capture及FTK Imager获取内存的操作界面。

基于系统崩溃转储的内存获取
  • 打开【系统属性】对话框,选择【高级选项卡】,单击【启动和故障恢复】中的【设置】按钮,打开【启动和故障恢复】对话框,选择【核心内存转储】并找到转储文件进行获取。如图所示。

基于虚拟化快照的内存获取
  • 这种获取方法是通过VMware Workstation、ESXI等虚拟化软件实现。VMware Workstation 在生成快照时会自动生成虚拟化内存文件,使用VMware Workstation生成的虚拟化内存文件如图所示。

内存的分析

对应内存的分析,一般需要借助相应的工具进行,一下简单介绍几个常用工具。

Redline
  • 在获取内存文件后,可以使用Redline进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和Internet历史记录等,最终生成报告。使用Redline进行内存分析的界面如图所示。

Volatility
  • Volatility是一个开源的内存取证工具,可以分析入侵工具痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等。这里以一个获取内存镜像为例,介绍Volatility的一般用法。
  • 对内存镜像中的网络连接情况进行排查,使用命令【netscan】可以列出内存镜像中的网络连接的情况,如图所示。

查看内存镜像隐藏进程
  • 使用【psxview】命令,可查看内存镜像中带有隐藏进程的所以进程列表。使用【psxview】命令排查隐藏进程,发现存在隐藏进程dllhost.exe。

查找隐藏或注入的代码
  • 使用【malfind】命令,可查找隐藏或注入的代码、DLL,如图所示。

提取执行的相关命令
  • 使用【cmdscan】命令,可提取相关的命令记录,如图所示。

提取进程命令
  • 使用【procdump】命令,可提取进程文件。可通过制定进程的PID的值来对特定的进程进行提取,如使用【procdump -p 2476 -D】命令提取进程文件,如图所示。

virustotal平台分析文件
  • 可以将文件上传到平台,以此判断是否存在恶意行为。

岁月冲淡々
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应篇】应急响应内存分析方法
大河之犬的博客
05-24 749
Volatility 是一个开源的内存取证工具,可以分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd 历史命令、IE 浏览器历史记录、启动项、用户、shimcache、userassist、部分 rootkit 隐藏文件、cmdliner 等。在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet 历史记录等,最终生成报告。
【安全服务】应急响应1:流程、排查与分析
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
网络安全应急响应----8、网页篡改应急响应
七天
03-22 8703
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改的网页2.2、针对未被篡改的网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4、恢复数据和业务四、网页篡改防御方法 一、网页篡改简介 网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
网络安全应急响应----9、WebShell应急响应
七天
03-23 8110
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具
小王的储物间
01-29 763
1、开始获取内存之前检查主机名和物理内存大小;2、检查是否有足够的可用磁盘空间来保存内存转储文件;3、支持收集原始内存转储 w/ Dumplt;4、从Magnet Idea Lab收集Microsoft Crash Dump w/DumpIt;5、支持检查加密磁盘数据;6、支持收集BitLocker恢复密钥;7、支持检查已安装的终端安全工具(反病毒和EDR产品);8、支持枚举目标主机中的所有必要信息,以丰富DFIR工作流;9、支持创建受密码保护的安全存档容器;
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
内存分析器1.01
12-28
文件分析器姊妹工具 提供内存搜索、查看、分析的功能 1、能记录用户搜索过的目录文件和关键字等 2、提供程序专业的字符表达式搜索 普通文本(AnsiUnicodeUtf8) 特征码(有点杀毒软件的感觉) 十六进制、二进制 整数(163264位)、单精度、双精度 GUID、Base64 Pascal、C字符表达式 3、简单的十六进制编辑器 4、汇编查看器
redline教程
cnbird's blog
10-22 1734
http://www.youtube.com/watch?v=sAobJ1kmyqA
论文研究-Windows系统挥发性数据应急响应内存取证研究 .pdf
08-21
Windows系统挥发性数据应急响应内存取证研究,张中文,曹天杰,本文阐述了Windows 2000系统服务器应急响应内存取证过程,给出了获取和分析物理内存转储文件的详细步骤。首先使用mdd.exe应急响应转��
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全... - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以
网络安全应急响应工具清单.xlsx
10-07
工具分类如下,共计70+...内存提取&分析工具 流量分析工具 进程分析工具 Windows日志分析工具 webshell查杀工具 自动化检测工具 内存马查杀工具 蓝队分析研判工具箱 浏览器日志分析工具 勒索病毒解密工具汇总
信息安全服务各种应急响应工具、应急资质申请工具包、便于开展信息安全应急服务工作
04-17
应急工具集包含 1、webshell 查杀工具 深信服webshell 、D盾、 2、内存扫描及主机监控 memscan、Sysmon、安装使用指导 3、进程分析工具 PCHunter、pd_latest、ProcessExplorer、ProcessHacker、ProcessMonitor 4、...
内存取证与IaaS云平台恶意行为的安全监控.pdf
09-11
内存取证与IaaS云平台恶意行为的安全监控 区块链 自动化 威胁情报 工控安全 渗透测试
DumpIt+Redline提取Win7的内存信息
qq_36933272的博客
08-31 636
win7的cmd.exe历史记录存在于conhost进程内
数字取证技术 :Windows内存信息提取
即刻出发吧
04-05 5296
数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析?因为在内存
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 138
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
防静电劳保鞋:工业安全中的隐形守护者
最新发布
YOUSUTO的博客
05-16 435
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 927
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
应急响应指令 -启动项指令和等级含义
05-27
应急响应指令是指在计算机遭遇安全事件或威胁时,响应团队需要执行的操作和步骤。其中,启动项指令和等级含义如下: 启动项指令: 1. 禁用不必要的启动项:禁用不必要的启动项可以减少系统启动时间,减轻系统负担...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值