Kali linux 学习笔记(八十七)计算机取证——工具(dumpit、volatility) 2020.4.22

kali linux 专栏收录该内容
100 篇文章 28 订阅

前言

本节学习计算机取证工具
不考虑法律因素、法庭证据、监管链、文档记录等环节
只学习kali中部分取证工具

1、内存镜像dumpit

https://www.downloadcrew.com/article/23854-dumpit
制作得到的内存文件(raw文件)与内存大小接近或者稍微大一点
如图所示
在这里插入图片描述

2、内存分析volatility

非常强大,非常重量级的工具
所有插件在 /usr/lib/python2.7/dist-packages/volatility/plugins

volatility
#查询文件信息
volatility imageinfo -f win.raw
#查询数据库文件
volatility -f win.raw --profile=Win7SP1x86
volatility -f win.raw --profile=Win7SP1x86 pslist #查看进程信息
volatility -f win.raw --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/ #dump进程内存到dumpdir
volatility -f win.raw --profile=Win7SP1x86 pstree #父进程和子进程关系
#按虚内存地址查看注册表内容
volatility -f win.raw --profile=Win7SP1x86 hivelist
volatility -f win.raw --profile=Win7SP1x86 hivedump -o 0x91fa1648 #根据虚内存dump注册表内容
volatility -f win.raw --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558 #提取hash,-y跟system虚地址,-s跟sam虚地址
#查看用户账号
volatility -f win.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names" #用户列表
volatility -f win.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #最后登录的用户
#正在运行的程序、运行过多少次、最后一次运行时间等
volatility -f win.raw --profile=Win7SP1x86 userassist
#命令历史
volatility -f win.raw --profile=Win7SP1x86 cmdscan
#网络连接
volatility -f win.raw --profile=Win7SP1x86 netscan
#IE历史
volatility -f win.raw --profile=Win7SP1x86 iehistory
# 使用 firefoxhistory
mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/
volatility -f win.raw --profile=Win7SP1x86 firefoxhistory
#USN 日志记录插件
#NTFS 特性,用于跟踪硬盘内容变化(不记录具体变更内容)
wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py
mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/
volatility -f win.raw --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
#Timeline 插件
#从多个位置收集大量系统活动信息
volatility -f win.raw --profile=Win7SP1x86 timeliner

3、案例

https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
在volatility作者的git上有些案例
若有个怀疑中恶意软件的系统内存镜像
基本流程如下

#查看信息
volatility -f xp.raw imageinfo
#查看进程数,看看是否有可疑的地方
volatility -f xp.raw --profile=WinXPSP3x86 pstree
#查看网络连接,中招的话,通常会有些网络连接
volatility -f xp.raw --profile=WinXPSP3x86 connscan
#查看 SID
volatility -f xp.raw --profile=WinXPSP3x86 getsids -p 1048 #上面网络连接中似乎可疑的
#查看调用库的数量,恶意软件一般要么特别多,要么特别少
volatility -f xp.raw --profile=WinXPSP3x86 dlllist -p 1048
#这两步可以比较觉得可疑的
#检查结果查毒
volatility -f xp.raw --profile=WinXPSP3x86 malfind -p 1048 -D dumpdir
#对觉得可疑的dmp进行查杀

结语

主要是内存镜像dump和分析volatility
以及了解流程

展开阅读全文
  • 0
    点赞
  • 6
    评论
  • 9
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

打赏
文章很值,打赏犒劳作者一下
相关推荐
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页

打赏

思源湖的鱼

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值