文章介绍了内存取证在应对网络攻击和犯罪中的重要性,特别提到了Volatility工具在Windows环境下的使用,包括获取内存信息、列举进程、检查注册表、抓取密码、文件扫描、事件时间线和网络连接等关键操作,展示了其在安全分析中的强大功能。
几款取证常用的工具
volatility(内存取证),PTF(找密码),取证大师(综合),magnet AXIOM
内存取证
内存取证是对传统磁盘取证的补充,攻击者通过隐藏或删除攻击痕迹 的手段, 使得传统的对硬盘的取证获得的信息变得越来 越困难。同时,磁盘中的数据加密技术也越来 越普及,比如 EFS、Bitlocker 和 TrueCrypt 加密等等,此 时就涉及到了内存取证,内存取证是指从计算机物理内存和页面交换文件中查找、 提取、分析易失性证据,是对传统基于硬盘中数据取证的重要补充,也是对抗网 络攻击或网络犯罪的有力武器。内存取证有着速度快,镜像占用空间小等优势。
在Windows下
获取内存操作系统(查看镜像信息)
volatility -f easy_dump.img imageinfo 这里的语句可以换成volatility -f easy_dump.img imageinfo 9
imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数
内存进程列举
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
列举内存注册表,hivelist: 列出所有的注册表项及其虚拟地址和物理地址
volatility -f easy_dump.img --profile=Win7SP1x64 hivelist
解析指定的注册表,获取注册表内的信息
volatility -f easy_dump.img --profile=Win7SP1x64 -o 注册表的名称 printkey
获取主机名
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “ControlSet001\Control\ComputerName\ComputerName”
抓取用户密码
volatility -f easy_dump.img mimikatz
文件扫描
volatility -f easy_dump.img filescan
配合grep文件扫描
volatility -f easy_dump.img filescan | grep “flag”
事件时间线信息
volatility -f Win7x64.vmem --profile=Win7SP1x64 timeliner
查看剪贴板的信息
volatility -f Win7x64.vmem --profile=Win7SP1x64 clipboard
查看网络连接
volatility -f file.raw --profile=WinXPSP2x86 connscan
系统最后一次关机的时间
volatility -f Win7x64.vmem --profile=Win7SP1x64 shutdowntime
5409
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
