机械 东莞网站建设,建筑设计网站免费,苏州网址制作公司,知名网站建设加盟合作在应急响应过程中#xff0c;除了上述几个通用的排查项#xff0c;有时也需要对应响应服务器进行内存的提权#xff0c;从而分析其中的隐藏进程。
内存的获取
内存的获取方法有如下几种#xff1a;
基于用户模式程序的内存获取#xff1b;基于内核模式程序的内存获取除了上述几个通用的排查项有时也需要对应响应服务器进行内存的提权从而分析其中的隐藏进程。
内存的获取
内存的获取方法有如下几种
基于用户模式程序的内存获取基于内核模式程序的内存获取基于系统崩溃转储的内存获取基于操作系统注入的内存获取基于系统休眠文件的内存获取基于虚拟化快照的内存获取基于系统冷启动的内存获取基于硬件的内存获取。
常用的内存获取
基于内核模式程序的内存获取
这种获取方法一般需要借助相关的工具来完成。常用的提权工具有Dumpit、Redline、RAM Capturer、FTK Imager等。图分别为RAM Capture及FTK Imager获取内存的操作界面。 基于系统崩溃转储的内存获取
打开【系统属性】对话框选择【高级选项卡】单击【启动和故障恢复】中的【设置】按钮打开【启动和故障恢复】对话框选择【核心内存转储】并找到转储文件进行获取。如图所示。 基于虚拟化快照的内存获取
这种获取方法是通过VMware Workstation、ESXI等虚拟化软件实现。VMware Workstation 在生成快照时会自动生成虚拟化内存文件使用VMware Workstation生成的虚拟化内存文件如图所示。 内存的分析
对应内存的分析一般需要借助相应的工具进行一下简单介绍几个常用工具。
Redline
在获取内存文件后可以使用Redline进行导入分析其主要收集在主机上运行的有关进程信息、内存中的驱动程序以及其他数据如元数据、注册表数据、任务、服务、网络信息和Internet历史记录等最终生成报告。使用Redline进行内存分析的界面如图所示。 Volatility
Volatility是一个开源的内存取证工具可以分析入侵工具痕迹包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等。这里以一个获取内存镜像为例介绍Volatility的一般用法。对内存镜像中的网络连接情况进行排查使用命令【netscan】可以列出内存镜像中的网络连接的情况如图所示。 查看内存镜像隐藏进程
使用【psxview】命令可查看内存镜像中带有隐藏进程的所以进程列表。使用【psxview】命令排查隐藏进程发现存在隐藏进程dllhost.exe。 查找隐藏或注入的代码
使用【malfind】命令可查找隐藏或注入的代码、DLL如图所示。 提取执行的相关命令
使用【cmdscan】命令可提取相关的命令记录如图所示。 提取进程命令
使用【procdump】命令可提取进程文件。可通过制定进程的PID的值来对特定的进程进行提取如使用【procdump -p 2476 -D】命令提取进程文件如图所示。 virustotal平台分析文件
可以将文件上传到平台以此判断是否存在恶意行为。
