实例讲解基于Volatility的内存分析技术Part 1

最新推荐文章于 2022-11-15 13:08:23 发布
最新推荐文章于 2022-11-15 13:08:23 发布
阅读量1k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/109312101
版权
本文是基于Volatility内存分析技术的系列文章第一部分,介绍了内存取证的重要性和Volatility框架。通过分析Coreflood木马的案例,展示了如何使用Volatility的工具,如pslist、connscan和malfind,来探测潜在的恶意活动。在对IEXPLORE.EXE进程的分析中,发现了被hook的LoadLibrary函数,暗示了恶意软件可能的注入行为。
摘要由CSDN通过智能技术生成

欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识,都不会影响您理解本文的内容!

阅读清单:

· 内核模式

· 用户模式

· 虚拟内存

· Windows进程

一点背景知识:

内存取证(有时称为内存分析)是指对计算机内存转储中易失性数据进行的一种分析。信息安全专业人员可以通过内存取证,奇热来调查和识别那些不会在硬盘驱动器数据中留下痕迹的攻击或恶意行为。

通过内存取证,安全人员可以了解运行时的各种系统活动,例如开放的网络连接或最近执行的命令和进程等。

程序在计算机上运行之前,首先需要被加载到内存中,这使得内存取证变得非常重要——这意味着所有被创建、检查或删除的程序或数据都将被保存到RAM中。这其中包括图像、所有Web浏览活动、加密密钥、网络连接或注入的代码片段。在许多情况下,某些证据只能在RAM中找到,例如在崩溃期间存在的开放网络连接。由于攻击者可以开发只驻留在内存中而不在硬盘落地的恶意软件,从而使标准的计算机取证方法几乎看不到它。这使得内存取证工具变得愈发重要。

Volatility是一个先进的内存取证框架。它为调查人员提供了许多自动工具,人们可以利用其先进的内存分析技术揭示主机上的恶意活动。需要指出的是,该框架是用python实现的,而且是开源的。该框架的下载地址为https://github.com/volatilityfoundation/volatility,相关的文档地址为https://github.com/volatilityfoundation/volatility/wiki/Command-Reference-Mal。

在这个系列文章中,我们将以Coreflood木马为例,来介绍相关的内存取证方法。

Coreflood是由一群俄罗斯黑客创建并在2010年发布的木马僵尸网络。FBI已经将“大约17个州或地方政府机构,包括1个警察局3个机场;2个国防承包商;5个银行或金融机构;大约30个学院或大学;大约20个医院或医疗公司;以及数百家企业”[1]列入受感染系统的名单中。截至2011年5月。它已经感染了世界各地230多万台计算机;到目前为止,它仍然是一个巨大的威胁。——维基百科

对于该样本软件,可以通过下面的地址进行下载(.vmem文件)

最低0.47元/天 解锁文章
systemino
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility3-develop-内存镜像分析工具
最新发布
06-30
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名...
Volatility内存分析
jh035512的博客
11-15 452
由于此工具功能过于全面,所以对于工具使用的背后,分析人员所需要的基本功要求很高(显然我不行:) 所以目前只学习几个较为常用简单的功能语句,后续当有相对应的分析任务时,会根据任务情况进行对应的讲解学习(涉密文件除外)yarascan -y fm.yara :当然也可以根据一些可疑字符串进行全盘内存的搜索匹配,利用写好的yara规则进行匹配。在dump时要注意,因为是内存镜像,所以要指定dump蜂巢的内存地址,而内存地址的选择要注意是内存虚地址。dump进程内存:memdump -p 进程PID -D 路径。
windows下的volatility内存取证分析讲解
cuihua的博客
04-03 7972
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
CTF之misc-内存分析Volatility
热门推荐
Battery的博客
05-04 10万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
内存取证 volatility
07-12
Volatility的工作原理基于对操作系统的内核理解,它解析内存中的数据结构以获取关键信息。由于内存中的数据是瞬时的,因此在系统关闭后,内存中的信息可能会丢失,但通过快速捕获内存映像,可以保留这些信息供后续...
基于Volatility内存信息调查方法研究
02-13
Volatility取证工具的使用详细说明,非常全面,有了它就可以一步步的实现对内存的取证啦。
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存分析
jenniferyayun的博客
11-11 283
栈 存放:局部变量 堆 存放new出来的对象 方法区 存放:类的信息、static变量、常量池(字符串常量)等
内存取证工具Volatility学习
crowsec
09-14 6593
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility内存取证分析讲解(持续更新)
qq_49422880的博客
02-28 6392
volatility内存取证分析讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
内存取证习题复现
m0_50911938的博客
01-10 1499
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
volatility取证
mandarava的博客
07-02 3129
之前的一道misc题目里遇到一个需要用这个软件去获取注册表的方法 这个软件kali服务器自带 软件简介 用于查看我正在分析内存样本的摘要信息。具体来说显示主机所使用的操作系统版本、服务包以及硬件结构(32位或64位)、也目录表的起始地址和该内存景象的时间等基本信息。 我遇到的题目是获取注册表的hash值 具体操作方法 用于获取文件的系统等信息:volatility -f memory ima...
内存取证-volatility工具的使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
Volatility工具指令篇
chanyi0040的博客
09-02 1万+
Volatility入门指令篇: Volatility -f name imageinfo volatility -f name pslist --profile=WinXPSP2x86 列举进程: volatility -f name --profile=WinXPSP2x86 volshell dt("_PEB") 查看进程环境块 volatility -f name --profile...
Volatility 内存映像提取
06-06
要使用Volatility提取内存映像,可以按照以下步骤进行操作: 1. 下载和安装Volatility:可以从Volatility官网下载最新版本的Volatility,并按照官方文档进行安装。 2. 获取内存映像:要获取内存映像,可以使用dd命令将内存转储到文件中,例如: ``` dd if=/dev/mem of=memdump bs=1M count=1024 ``` 这个命令将内存中的前1024MB数据转储到memdump文件中。这个过程可能需要root权限。 3. 识别操作系统和内核版本:使用Volatility命令行工具,运行以下命令来识别内存映像中的操作系统和内核版本: ``` volatility -f memdump imageinfo ``` 这个命令会输出内存映像中的操作系统和内核版本信息。 4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像中运行的进程列表。 以上是使用Volatility提取内存映像的基本步骤。Volatility还支持许多其他的插件和功能,可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值