Kali Linux渗透测试 151 取证工具-Volatility

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程，教程为安全牛课堂里的《Kali Linux 渗透测试》课程

Kali Linux渗透测试（苑房弘）博客记录

1. 制作内存镜像

取证工具 Comae-Toolkit-Light

http://www.downloadcrew.com/article/23854-dumpit

使用其中的 DumpIt 制作内存镜像文件，内存文件与内存大小接近或者稍微大一点

2. 分析内存文件

• 插件位置

    /usr/lib/python2.7/dist-packages/volatility/plugins
  

• 查询文件信息，关注 profile

    volatility imageinfo -f win.dmp imageinfo
  

  

• v查询数据库文件

    volatility hivelist -f win.dmp --profile=Win7SP1x86
  

  

    volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist
    volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree
  

• 按虚内存地址查看注册表内容

    volatility -f win.dmp --profile=Win7SP1x86 hivelist
  

  

    volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648
  

• 查看用户账号

    volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
  

  

• 最后登录的用户

    volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
  

  

• 正在运行的程序、运行过多少次、最后一次运行时间等

    volatility -f win.dmp --profile=Win7SP1x86 userassist
  

  

• 进程列表及物理内存

    volatility -f win.dmp --profile=Win7SP1x86 pslist
  

  

  • dump 进程内存

      volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/
    

    

      root@kali:~/dumpdir# hexeditor 3684.dmp 
    

  • 提取字符串

      root@kali:~/dumpdir# strings 3684.dmp > 1111.txt
      root@kali:~/dumpdir# strings 3684.dmp | grep password
      root@kali:~/dumpdir# strings 3684.dmp | grep /
      root@kali:~/dumpdir# strings 3684.dmp | grep @
    

• 命令历史

    volatility cmdscan -f win.dmp --profile=Win7SP1x86	
  

  

• 网络连接

    volatility netscan -f win.dmp --profile=Win7SP1x86
  

  

• IE 历史

    volatility iehistory -f win.dmp --profile=Win7SP1x86
  

• 提取hash

    volatility -f win.dmp --profile=Win7SP1x86 hivelist
  

  

    #volatility -f win.dmp --profile=Win7SP1x86 hashdump -y system虚地址 -s SAM虚地址
    volatility -f win.dmp --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558
  

  

3. firefoxhistory 插件

• Firefoxhistory 插件

DaveLasalle_ForensicSuite.zip

	mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/

	# 使用 firefoxhistory
	volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory

4. USN 日志记录插件

• NTFS 特性，用于跟踪硬盘内容变化（不记录具体变更内容）

    wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py
    mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/
    volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
  

5. Timeline 插件

• 从多个位置收集大量系统活动信息

    volatility -f win.dmp --profile=Win7SP1x86 timeliner
  

6. 内存取证案例分析

• 内存取证发现恶意软件的镜像

  • https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
  • https://code.google.com/archive/p/volatility/wikis/SampleMemoryImages.wiki

  实验使用镜像文件

• 内存取证发现恶意软件

  • 查看信息

      volatility -f cridex.vmem imageinfo
    

    

  • 查看进程数

      volatility -f cridex.vmem --profile=WinXPSP3x86 pstree
    

    

  • 查看网络连接

      volatility connscan -f cridex.vmem --profile=WinXPSP3x86
    

    

  • 查看 SID

      volatility -f cridex.vmem --profile=WinXPSP3x86 getsids -p 1484
    

    

  • 调用库的数量

      volatility -f cridex.vmem --profile=WinXPSP3x86 dlllist -p 1484
    

    

  • 检查结果查毒

      volatility -f cridex.vmem --profile=WinXPSP3x86 malfind -p 1484 -D dumpdir
    

    

      ls process.0x821dea70.0x1460000.dmp
    

    病毒检测引擎