利用Volatility查詢系統中的惡意DLL

2021-12-30 03:46:57 字數 1194 閱讀 6477

昨天看到@白河·愁 發了《linux下記憶體取證工具volatility的使用》,今天恰好看到一篇volatility利用的文章,文章不長,就翻譯了過來。

原文位址:

譯文:colin和我最近正致力於研究乙個記憶體映象,需要找到由svchost.exe載入的所有dll,選擇使用大家熟知的記憶體分析工具 — volatility。volatility無法通過程序名檢視載入的dll,而是通過指定程序的pid來將所有已載入的dll列出。但是,如果系統中有多個同名的程序(如svchost.exe),我們可以用以類似圖1所示的命令進行查詢:

圖1不過這個方法在我們的使用過程中不怎麼好用,因此決定研究一下volatility的原始碼,對其做一些小的調整以使其適應我們的需求。經過研究,我們修改了能最終影響dlllist的模組taskmods.py。未修改之前,用-h選項檢視dlllist外掛程式的幫助資訊,會列出其支援的所有選項,如offset、pid等,如圖2所示:

圖2而我們修改過的taskmods.py模組為其新增了乙個新的選項,即通過程序名來新增乙個程序或程序列表,如圖3:

圖3現在我們只需要簡單地給出svchost.exe程序名,就可以得到由該程序載入的dll檔案列表。如果系統中執行著非標準svchost.exe程序,該命令同樣會將其顯示出來,命令如下: 

vol.py -f 7re-912d4ad7.vmem --profilewin7sp1x64 dlllist -n svchost.exe得到如下輸出:

只需要在volatility 安裝目錄的外掛程式目錄$volatilityhome/volatility/plugins中用新的taskmods.py檔案覆蓋原來的檔案,即可完成安裝。

我們在windows xp 與 windows 7中測試了volatility2.2, 2.3, 2.3.1,均未發現問題,可以放心使用。

利用MalwareDefender保障系統安全

1.預備知識 malware defender是一款 hips 主機入侵防禦系統 軟體,使用者可以自己編寫規則來防範病毒 木馬的侵害。另外,malware defender提供了很多有效的工具來檢測和刪除已經安裝在計算機系統中的惡意軟體。malware defender監控範圍廣 對應用程式 檔案 ...

利用OpenGL模擬太陽系

1 了解opengl程式設計,並熟悉opengl的主要功能 繪製流程和基本語法,學會配置opengl壞境,並在該環境中程式設計繪圖 2 利用所學知識 如圓等基本圖形的繪製,平移 旋轉等三維幾何變換,透視投影,三維觀察,消隱等 模擬乙個動畫實體或場景 3 學會呼叫opengl庫中的函式,形成用open...

利用CSS模擬太陽系運轉

display flex 屬性規定元素應該生成的框的型別。justify content center align items center position relative 屬性指定乙個元素 靜態的,相對的,絕對或固定 的定位方法的型別。值 生成相對定位的元素,相對於其正常位置進行定位。path...