本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
1. 制作内存镜像
http://www.downloadcrew.com/article/23854-dumpit
使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点
2. 分析内存文件
插件位置
/usr/lib/python2.7/dist-packages/volatility/plugins
查询文件信息,关注 profile
volatility imageinfo -f win.dmp imageinfo
v查询数据库文件
volatility hivelist -f win.dmp --profile=Win7SP1x86
volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree
按虚内存地址查看注册表内容
volatility -f win.dmp --profile=Win7SP1x86 hivelist
volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648
查看用户账号
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
最后登录的用户
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
正在运行的程序、运行过多少次、最后一次运行时间等
volatility -f win.dmp --profile=Win7SP1x86 userassist
进程列表及物理内存
volatility -f win.dmp --profile=Win7SP1x86 pslist
dump 进程内存
volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/
root@kali:~/dumpdir# hexeditor 3684.dmp
提取字符串
root@kali:~/dumpdir# strings 3684.dmp > 1111.txt root@kali:~/dumpdir# strings 3684.dmp | grep password root@kali:~/dumpdir# strings 3684.dmp | grep / root@kali:~/dumpdir# strings 3684.dmp | grep @
命令历史
volatility cmdscan -f win.dmp --profile=Win7SP1x86
网络连接
volatility netscan -f win.dmp --profile=Win7SP1x86
IE 历史
volatility iehistory -f win.dmp --profile=Win7SP1x86
提取hash
volatility -f win.dmp --profile=Win7SP1x86 hivelist
#volatility -f win.dmp --profile=Win7SP1x86 hashdump -y system虚地址 -s SAM虚地址 volatility -f win.dmp --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558
3. firefoxhistory 插件
- Firefoxhistory 插件
mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/
# 使用 firefoxhistory
volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory
4. USN 日志记录插件
NTFS 特性,用于跟踪硬盘内容变化(不记录具体变更内容)
wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/ volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
5. Timeline 插件
从多个位置收集大量系统活动信息
volatility -f win.dmp --profile=Win7SP1x86 timeliner
6. 内存取证案例分析
内存取证发现恶意软件的镜像
内存取证发现恶意软件
查看信息
volatility -f cridex.vmem imageinfo
查看进程数
volatility -f cridex.vmem --profile=WinXPSP3x86 pstree
查看网络连接
volatility connscan -f cridex.vmem --profile=WinXPSP3x86
查看 SID
volatility -f cridex.vmem --profile=WinXPSP3x86 getsids -p 1484
调用库的数量
volatility -f cridex.vmem --profile=WinXPSP3x86 dlllist -p 1484
检查结果查毒
volatility -f cridex.vmem --profile=WinXPSP3x86 malfind -p 1484 -D dumpdir
ls process.0x821dea70.0x1460000.dmp