定義:通常指對計算機及相關智慧型裝置執行時的物理記憶體中儲存的臨時資料進行獲取與分析,提取有價值的資料。記憶體是作業系統及各種軟體交換資料的區域,資料易丟失(volatile),通常在關機後資料很快就消失。(是指利用將記憶體程序寫入映象檔案,通過映象檔案檢視之前記憶體程序的一些資訊。)
工具介紹:volatility
volatility是一款開源的記憶體取證分析工具,由python編寫,支援各種作業系統。可以通過外掛程式來拓展功能。kali下整合了該工具,命令列輸入volatility使用該工具。
基本命令:
volatility -f imageinfo +檔名 用imageinfo外掛程式得到一些profile型別 的基本資訊。
volatility -f +檔名 pslist --profile=系統 再檢視程序資訊
volatility -f +檔名 pslist --profile= 系統 |grep notepad 搜尋指定的指定外掛程式notepad。
volatility notepad -f +檔案 pslist --profile=系統 用notepad外掛程式讀取出裡面的內容。
常用命令
功能cmdline/cmdscan
列出歷史cmd命令
filescan
掃瞄檔案,可配合grep使用
pslist/psscan
列出程序列表
netscan
掃瞄建立的連線和套接字,類似於netstat
svcscan
掃瞄windows服務列表
screenshot
顯示gdi樣式的截圖
memdump
從記憶體dump程序的記憶體
dumpfiles
從記憶體dump檔案
dumpregistry
提取日誌檔案
dlllist
顯示每個程序的載入dll列表
重要資訊的收集順序
rfc 3227
rfc 3227提供了獲取數字證據的許多做法,比如,收集資料的順序可以決定調查的成敗。
這個順序稱為波動順序(volatility order),顧名思義,調查人員必須首先收集易消失的資料。易失性資料是系統關閉時可能丟失的任何資料,例如連線到仍然在ram中註冊的**。調查人員必須將先從最不穩定的證據中開始收集資料:
(1)快取
(2)路由表,程序表,記憶體
(3)臨時系統檔案
(4)硬碟
(5)遠端日誌,監控資料
(6)物理網路配置,網路拓撲
(7)**檔案(cd,***)
ram記憶體分析
擴充套件
diskgenius 是一款專業級的 資料恢復軟體,演算法精湛、功能強大,使用人數最多;支援各種情況下的檔案恢復、分割槽恢復,恢復效果最好;檔案預覽、扇區編輯、加密分割槽恢復、ext4分割槽恢復、raid恢復等高階功能應有盡有,專業人士的不二之選! 還是一款強大的備份軟體,可以方便的備份或轉殖硬碟或分割槽。安全可靠,是國內開發歷史最長、使用人數最多的硬碟分割槽備份軟體;功能全面,支援增量備份及多點還原、熱備份、系統備份等眾多特性。
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
volatility 記憶體取證的簡單用法
apt get install volatility檢測目標系統資訊 volatility f win7.raw imageinfo檢視執行的程序資訊 volatility f win7.raw profile win7spix64 pslist3.檢視檔案列表 volatility f win7....
volatility記憶體取證學習
linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...