写点什么

网络攻防学习笔记 Day69

发布于: 2021 年 07 月 09 日
网络攻防学习笔记 Day69

有时也需要对应急响应服务器进行内存的提取,从而分析其中的隐藏进程。

1.内存获取


内存的获取方法有如下几种:基于用户模式程序的内存获取;基于内核模式程序的内存获取;基于系统崩溃转储的内存获取;基于操作系统注入的内存获取;基于系统休眠文件的内存获取;基于虚拟化快照的内存获取;基于系统冷启动的内存获取;基于硬件的内存获取。


1)基于内核模式程序的内存获取

这种获取方法一般需要借助相关的工具来完成。常用的提取工具有 Dumpit、Redline、RAM Capturer、FTK Imager 等。


2)基于系统崩溃转储的内存获取

打开【系统属性】对话框,选择【高级】选项卡,单击【启动和故障恢复】中的【设置】按钮,打开【启动和故障恢复】对话框,选择【核心内存转储】并找到转储文件进行获取。


3)基于虚拟化快照的内存获取

这种获取方法是通过 VMware Workstation、ESXI 等虚拟化软件实现的。


2.内存的分析

1)Redline

在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet 历史记录等,最终生成报告。


2)Volatility

Volatility 是一个开源的内存取证工具,可以分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd 历史命令、IE 浏览器历史记录、启动项、用户、shimcache、userassist、部分 rootkit 隐藏文件、cmdliner 等。


使用【netscan】命令,可以列出内存镜像中的网络连接的情况。

使用【psxview】命令,可查看内存镜像中带有隐藏进程的所有进程列表。

使用【malfind】命令,可查找隐藏或注入的代码、DLL。

使用【cmdscan】命令,可提取执行的相关命令记录。

使用【procdump】命令,可提取进程文件。


发布于: 2021 年 07 月 09 日阅读数: 7
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day69