Kali linux 学习笔记（八十七）计算机取证——工具（dumpit、volatility） 2020.4.22

前言

本节学习计算机取证工具
不考虑法律因素、法庭证据、监管链、文档记录等环节
只学习kali中部分取证工具

1、内存镜像dumpit

https://www.downloadcrew.com/article/23854-dumpit
制作得到的内存文件（raw文件）与内存大小接近或者稍微大一点
如图所示

2、内存分析volatility

非常强大，非常重量级的工具
所有插件在 /usr/lib/python2.7/dist-packages/volatility/plugins

volatility
#查询文件信息
volatility imageinfo -f win.raw
#查询数据库文件
volatility -f win.raw --profile=Win7SP1x86
volatility -f win.raw --profile=Win7SP1x86 pslist #查看进程信息
volatility -f win.raw --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/ #dump进程内存到dumpdir
volatility -f win.raw --profile=Win7SP1x86 pstree #父进程和子进程关系
#按虚内存地址查看注册表内容
volatility -f win.raw --profile=Win7SP1x86 hivelist
volatility -f win.raw --profile=Win7SP1x86 hivedump -o 0x91fa1648 #根据虚内存dump注册表内容
volatility -f win.raw --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558 #提取hash，-y跟system虚地址，-s跟sam虚地址
#查看用户账号
volatility -f win.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names" #用户列表
volatility -f win.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #最后登录的用户
#正在运行的程序、运行过多少次、最后一次运行时间等
volatility -f win.raw --profile=Win7SP1x86 userassist
#命令历史
volatility -f win.raw --profile=Win7SP1x86 cmdscan
#网络连接
volatility -f win.raw --profile=Win7SP1x86 netscan
#IE历史
volatility -f win.raw --profile=Win7SP1x86 iehistory
# 使用 firefoxhistory
mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/
volatility -f win.raw --profile=Win7SP1x86 firefoxhistory
#USN 日志记录插件
#NTFS 特性，用于跟踪硬盘内容变化（不记录具体变更内容）
wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py
mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/
volatility -f win.raw --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
#Timeline 插件
#从多个位置收集大量系统活动信息
volatility -f win.raw --profile=Win7SP1x86 timeliner

3、案例

https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
在volatility作者的git上有些案例
若有个怀疑中恶意软件的系统内存镜像
基本流程如下

#查看信息
volatility -f xp.raw imageinfo
#查看进程数，看看是否有可疑的地方
volatility -f xp.raw --profile=WinXPSP3x86 pstree
#查看网络连接，中招的话，通常会有些网络连接
volatility -f xp.raw --profile=WinXPSP3x86 connscan
#查看 SID
volatility -f xp.raw --profile=WinXPSP3x86 getsids -p 1048 #上面网络连接中似乎可疑的
#查看调用库的数量，恶意软件一般要么特别多，要么特别少
volatility -f xp.raw --profile=WinXPSP3x86 dlllist -p 1048
#这两步可以比较觉得可疑的
#检查结果查毒
volatility -f xp.raw --profile=WinXPSP3x86 malfind -p 1048 -D dumpdir
#对觉得可疑的dmp进行查杀

结语

主要是内存镜像dump和分析volatility
以及了解流程