數字取證技術 | Windows內存信息提取

*原創作者：Cunlin，本文屬Freebuf原創獎勵計劃，未經許可禁止轉載

0×00概述

後面會花一部分時間，寫一些數字取證相關的文章。攻擊技術貼多如牛毛，眼下不管是網安，還是安全廠商， 欠缺的是對取證技術的研究。

大致想了一下，主要會從以下幾個方面逐一介紹吧：

- 內存

- 硬碟鏡像

- 網路

- Timeline利用

- 威脅情報在取證中的作用等

0×01 windows內存取證

取證的時候為什麼要做內存分析？因為在內存裡面可以看到操作系統在做的幾乎所有的事情。當內存塊不被覆蓋的情況下，很多歷史信息同樣被保留。主要有：

- 進程和線程

- 惡意軟體，包括rootkit技術

- 網路socket，URL，IP地址等

- 被打開的文件

- 用戶生成的密碼，cache，剪貼板等

- 加密鍵值

- 硬體和軟體的配置信息

- 操作系統的事件日誌和註冊表

有了以上這些信息，我們可以找出更多有用的信息，在本文章中， 我們就以找出系統的歷史CMD命令行為例。

0×02內存的獲取

基本上，都是通過工具，或者已經由系統生成的dump文件來獲取其信息。當然，在虛擬環境下， 也可以通過虛擬機的鏡像文件，或者快照文件獲取內存信息。

0×03 內存鏡像的分析

我們以Redline工具為例， 來分析一下當前內存的信息。

首先，Redline可以直接收集當前的內存信息。 也可以利用威脅情報（IoC）來搜索當前的內存信息。這裡就不多介紹。

我們直接打開已經獲取到的內存鏡像文件：sobig.img

注意，因為本文章要獲取系統的歷史CMD命令， 所以需要修改一下默認分析腳本： 打開Strings參數。

完全打開之後，我們可以看到很多信息：

1. 進程和各個進程之間的父子關係。

2. 每個進程參數

3. Redline自帶打分功能MRI，給每個進程打分。 惡意進程的MRI會很高，標記為紅色。

4. 載入的驅動

5. Hooks

6. 根據時間生成timeline。 這個在做安全應急響應分析的時候非常重要。

圖上紅色的就是惡意進程。

0×04獲取歷史CMD命令

在windows XP下，

一般

cmd.exe

的歷史記錄存在於

csrss.exe

進程內。

而

windows 7

上，則存在於

Conhost.exe

進程內。

所以在這個例子中，我們可以看csrss.exe進程的具體信息

然後再選在我們之前打開的Strings參數。我們可以看到這個進程在運行過程中，一些調用的函數名稱等字元。 類似通過BinText來查看一個二進位文件一樣。

再通過過濾器來提取所有cmd.exe的信息， 我們就能看到， 計算機在運行的過程中所有執行過的CMD命令。

0×05總結

通過以上小例子，我們可以從內存信息裡面提取一些重要的證據。如果當黑客已經攻破了內網一台主機（C&C已經建立），大多都會使用系統自帶的命令來收集更多的信息，或者進一步侵入內網其他主機。

使用CMD的好處是容易隱藏自己的行為。因此，這種情況下我們可以通過類似上述手段，找到更多黑客的蹤跡。

當然， 這裡介紹的Redline只是其中的一個工具。 類似還有非常流行的Volatility等。在後面的文章中會有更多的介紹。

*原創作者：Cunlin，本文屬Freebuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！