【取證分析】The Art of Memory Forensics-Windows取證(Virut樣本取證)

標籤：顯示   操作   進程啟動   explore   windows系統   slist   表示   查看   emma   

1、前言

The Art of Memory Forensics真是一本很棒的書籍，其中使用volatility對記憶體進行分析的描述可以輔助我們對更進階類的木馬進行分析和取證，這裡對書中的命令進行了筆記記錄。

2、volatility-Windows命令

與分析Linux鏡像相似，而Windows系統的profile都是volatility內建的，無需再製作。

• 選擇中繼資料 imageinfo

查看正在分析的記憶體樣本的摘要資訊。顯示主機所使用的作業系統版本、服務包以及硬體結構(32位或64位)、頁目錄表的起始地址和該擷取該記憶體鏡像的時間等資訊。顯示出當前所支援的中繼資料系統。

• 結束進程分析 psscan

使用PSSCAN命令。可以找到以前終止的進程（非活動）和被rootkit隱藏或未連結的進程。輸出顯示ping.exe、ipconfig.exe兩個進程啟動與退出時間。

• 進程列表 pslist

列出系統進程，顯示位移量、進程名稱、進程ID、父進程ID、線程數、控制代碼的數量，以及進程啟動和退出時的日期/時間。

• 進程樹 pstree

查看以樹形形式列出的進程，與pslist顯示的技術一樣，但不會顯示隱藏或未連結的進程。子進程使用縮排和句點表示。

• 檢測橫向運動 getsids

查看與進程關聯的SIDs(安全性識別碼)，識別惡意升級特權的進程，以及哪些進程屬於特定的使用者。例子中以explorer.exe為樣本，其中一個SID (S-1-5-21-[snip]-1115)沒有顯示帳戶名稱。
EXE是管理員的成員組。在這個特殊的情境，攻擊者組合了一個毒葛(PI)遠控。(RAT)使用一個Pass the Hash (PtH)攻擊。

• 識別遠程對應磁碟機

許多攻擊者都依賴於像net view和net use這樣的命令來探索周圍環境。通過遠程磁碟機功能擷取對伺服器的讀存取權限,在內網進行橫向運動。

• 識別遠程對應磁碟機-handles

在記憶體中找到遠程對應磁碟機的證據，可通過尋找檔案控制代碼實現。使用handles命令可查看檔案、註冊表鍵、互斥鎖、具名管道、事件、視窗站、案頭、線程和所有其他類型的可儲存執行對象。

• 識別遠程對應磁碟機

另一種檢測遠程映射共用的方法，可以結合使用。通過symlinkscan外掛程式檢查符號連結。

• 進程記憶體查看 memmap
  memmap命令顯示了哪些頁面是記憶體駐留的，給定一個特定的進程DTB。可顯示頁面的虛擬位址、頁面相應的物理位移量以及頁面的大小。這個命令產生的映射資訊來自底層地址空間的get_available_address方法。

• 進程記憶體提取 memdump

要在一個進程中提取所有記憶體駐留頁面，可使用memdump命令將系統進程的可定址記憶體提取到單個檔案之中。

• Yara規則掃描記憶體

Yara是Victor M. Alvarez (http://plusvic.github.io/yara)的一個快速靈活的工具。在任意資料集內的模式比對。Yarascan命令可以通過虛擬記憶體進行掃描，可以指定PID掃描，掃描規則除了使用字元也可以使用匹配規則檔案。

3、樣本分析-virut

【取證分析】The Art of Memory Forensics-Windows取證(Virut樣本取證)