一文讲述内存取证的数据保存、数据分析、CTF实战案例
一文讲述内存取证的数据保存、数据分析、CTF实战案例
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。
Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
一、保存内存数据
使用dumpit.exe输入y,可将当前PC机的内存情况保存为raw文件。将该raw文件名更改为test.raw。
二、内存数据分析
1、将test.raw放入volatility文件夹中,使用volatility查看当时保存内存状态,在cmd下使用命令:
Volatility.exe -f test.raw imageinfo
在Suggested Profile(s)处给出了几个建议性的profile。
下边还提供了CPU时间等详细信息。
2、查看当时运行的进程,以及对应进程的详细状态信息。在cmd下使用命令:
Volatility.exe -f test.raw --profile=Win7SP1x64 pslist
命令中,--profile项中选择提供可选择的Suggested Profile,此处选择WIN7SP1x64
当然,此处也可以使用Volatility.exe -f test.raw --profile=Win7SP1x64 pstree
用pstree的方式查看进程。
3、查看当时缓存在内存中的注册表情况。在cmd下使用命令:
Volatility.exe -f test.raw --profile=Win7SP1x64 hivelist
其中需要注意Virtual地址,其它操作需要经常使用到虚拟地址。
4、如果有想要打印出来的注册表中的数据,可以使用命令:
Volatility.exe -f test.raw --profile=Win7SP1x64 hivedump -o 注册表对应虚拟地址
此处选择使用注册表SAM所对应的虚拟地址,查看注册表SAM下的注册表数据。
5、查看SAM中有哪些用户,可以使用命令:
Volatility.exe -f test.raw --profile=Win7SP1x64 printkey -K “对应注册表文件地址”
此处选择使用SAM\Domains\Account\Users\Names注册表地址。查看存在的相应用户。
此处选择使用SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon注册表地址,查看最后进行了修改的用户的时间等信息。
6、查看当时正在运行的程序,运行过的次数,最后一次运行的时间等信息。可以使用命令:
Volatility -f test.raw --profile=Win7SP1x64 userassist
7、使用memdump插件可以将当时内存中的某个进程数据提取出来,以bmp格式进行保存,可以使用命令:
Volatility -f test.raw --profile=Win7SP1x64 memdump -p 1608 -D win7/
-p 指定的进程ID
-D dump出的文件保存在哪个目录下。
此处使用1332 dumpit.exe的pid
可以使用strings工具将其字符串打印出来。
8、使用cmdscan插件可以将当时内存中的cmd使用情况提取出来,使用命令:
Volatility -f test.raw --profile=Win7SP1x64 cmdscan
9、使用netscan插件可以将当时的网络连接状态提取出来,使用命令:
Volatility -f test.raw --profile=Win7SP1x64 netscan
10、使用iehistory插件可以查看当时的IE浏览器使用情况,使用命令:
Volatility -f test.raw --profile=Win7SP1x64 iehistory
11、使用hashdump将内存中的系统密码dump出来,使用命令:
Volatility -f test.raw --profile=Win7SP1x64 hashdump -y (注册表system的virtual地址) -s (SAM的virtual地址)
12、使用timeliner插件从多个位置来搜集系统的活动信息,使用命令:
Volatility -f test.raw --profile=Win7SP1x64 timeliner
三、内存取证CTF实战案例
1、先对dmp数据进行基本分析,查看当时内存属于什么系统和版本。
2、使用pstree查看当时运行的进程。
这里发现有运行cmd.exe,使用cmdscan插件去查看当时cmd运行的命令。
然后看到里边存有flag相关的信息,得到flag.ccx的password与Administrator的password一样。
3、去搜索一下flag.ccx文件,使用filescan插件查询后生成一个mem.txt文件。
检索以下带flag的字段。
4、使用dump命令将flag.ccx文件dump下来。
查询SAM表用户。
列出system与SAM的内存地址。
7、使用hashdump将Administrator的密码hash dump下来。
根据得到的Administrator的hash去解密cmd5,以获取密码。
8、从进程表中看见有进程CnCrypt,猜测使用CnCrypt进行加密的,使用CnCrypt挂载文件进行解密。
得到flag。