Форензика оперативной памяти

#Обучение 

Форензика памяти — это криминалистический анализ дампа памяти компьютера. 

Его основное применение — расследование сложных компьютерных атак, которые достаточно скрытны, чтобы не оставлять данные на жестком диске компьютера. 

Следовательно, память (RAM) должна анализироваться на предмет криминалистической информации. Необходимые требования 

• Иструменты:
•  Volatility
• Redline
• Caploader 
• Образ: Memory Image 

В этом руководстве я использую инструменты на Windows. 

Теперь погнали. 

Получить имя компьютера 

Иструмент: Volatility 

Команда: 

vol.py -f <memory_image> –profile=<profile> envars | findstr COMPUTERNAME 

Получить профиль: 

Вы можете просмотреть профиль volatility с помощью команды:> vol.py –info

В Windows имеется множество переменных среды для запуска процессов, которые могут извлекать справочные данные, такие как ОС, TEMP, windir, Path… и используемое в настоящее время имя хоста будет храниться в переменной с именем COMPUTERNAME. 

Вы можете просматривать переменные среды через Power Shell. 

Команда: 

Get-ChildItem Env

Получить список процессов 

Иструмент: Volatility 

Команда: 

vol.py -f <file_image> –profile==<profile_name> pslist 

pslist: находит и просматривает двусвязный список процессов и выводит сводку данных.

Этот метод обычно не может показать вам завершенные или скрытые процессы.

pstree: берет вывод из pslist и форматирует его в виде дерева, чтобы вы могли легко увидеть родительские и дочерние отношения.

psscan: сканирует объекты _EPROCESS, а не полагается на связанный список.

Этот плагин также может найти завершенные и несвязанные (скрытые) процессы.

psxview: находит процессы, используя списки альтернативных процессов, поэтому вы можете ссылаться на разные источники информации и выявлять вредоносные несоответствия. 

Используя Redline:

Преимущества Redline в том, что он имеет очень простой в использовании интерфейс и отображает много информации о процессе. 

Получить пароль 

Перечислим хайв реестра 

vol.py -f ch2.dmp –profile=Win7SP1x86 hivelist

 Volatility Foundation Volatility Framework 2.6.1

 Virtual Physical Name

 ———- ———- —-

 0x8ee66740 0x141c0740 \SystemRoot\System32\Config\SOFTWARE

 0x90cab9d0 0x172ab9d0 \SystemRoot\System32\Config\DEFAULT

 0x9670e9d0 0x1ae709d0 \??\C:\Users\John Doe\ntuser.dat

 0x9670f9d0 0x04a719d0 \??\C:\Users\John Doe\AppData\Local\Microsoft\Windows\UsrClass.dat

 0x9aad6148 0x131af148 \SystemRoot\System32\Config\SAM

 0x9ab25008 0x14a61008 \SystemRoot\System32\Config\SECURITY

 0x9aba79d0 0x11a259d0 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT

 0x9abb1720 0x0a7d4720 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

 0x8b20c008 0x039e1008 [no name]

 0x8b21c008 0x039ef008 \REGISTRY\MACHINE\SYSTEM

 0x8b23c008 0x02ccf008 \REGISTRY\MACHINE\HARDWARE

 0x8ee66008 0x141c0008 \Device\HarddiskVolume1\Boot\BCD 

Извлем хеши 

Теперь с помощью виртуального смещения SYSTEM и SAM мы можем извлечь хэши: 

D:\volatility>vol.py -f ch2.dmp –profile=Win7SP1x86 hashdump -y 0x8b21c008 -s 0x9aad6148 > hashes.txt
Volatility Foundation Volatility Framework 2.6.1 

Посмотрим файл hashes.txt: 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 John Doe:1000:aad3b435b51404eeaad3b435b51404ee:b9f917853e3dbf6e6831ecce60725930::: 

Взломаем хеш 

Вы можете использовать локальный инструмент (например, HashCat) или какой либо онлайн-инструмент. 

В этом руководстве я использую HashKiller:

Срез сети 

Чтобы сделать сетевое срез файла памяти, есть несколько инструментов, которые можно использовать: bulk_extractor и CapLoader. 

Тут мы используем CapLoader. 

CapLoader можно использовать для очистки сетевых данных дампа памяти с помощью функции вырезания пакетов из файла. 

CapLoader — это инструмент Windows, предназначенный для обработки большого количества захваченного сетевого трафика. 

CapLoader выполняет индексацию файлов PCAP / PcapNG и визуализирует их содержимое в виде списка потоков TCP и UDP. 

Пользователи могут выбирать интересующие потоки и быстро отфильтровывать эти пакеты из загруженных файлов PCAP. 

Отправка выбранных потоков / пакетов в инструмент анализатора пакетов, такой как Wireshark или NetworkMiner, выполняется одним щелчком мыши. 

CapLoader — это идеальный инструмент для обработки файлов PCAP с большими данными размером до нескольких гигабайт (ГБ). 

Содержимое отдельных потоков можно экспортировать в такие инструменты, как Wireshark и NetworkMiner, всего за несколько секунд.

Вы можете просмотреть и дополнительную информацию с помощью файла pcap. 

В этой статье я показал несколько основных команд, чтобы показать примеры форензики оперативной памяти.

Источник