活取证Volatility

Linux 系统取证工具Volatility

首先取证的分类:活取证,死取证,活取证就是在发现入侵的时候直接把机器的运存(ram)dump下来,对运存进行分析,还原一些进程的中的信息。死取证就是对机器的磁盘做镜像之后分析的取证方法。

我这次介绍的工具是:Volatility,是一款活取证软件,十分强大,不单是表现在分析能力,更表现在强大的扩展能力。下面的网址是这款取证工具的github地址。
https://github.com/volatilityfoundation/volatility

这款工具是Kali linux收录了的,进入terminal后直接输入volatility -h即可启动并查看相关参数的用法,其中要注意一个参数 –profile,这个是dump下来内存的系统版本。确保的这个参数的正确性才能确保分析结果的准确性。

 

Part 1—-Volatility基本常用的插件命令

1.查看xp.raw文件信息,会告诉你内存文件对应的操作系统版本信息等
volatility imageinfo -f xp.raw

2016-12-02-21-39-17%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

 

2.进程信息 物理地址 虚地址
volatility -f XP.raw –profile=WinXPSP3x86 pslist

2016-12-02-21-40-21%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be
Add: pstree 可以看到进程继承关系

3.查看注册表相关信息:
volatility hivelist –f xp.raw –profile=WinXPSP3x86

2016-12-04-22-21-22%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

*在查看注册表时,使用下面的命令,可以按虚地址查看注册表内容
volatility -f xp.raw –profile=WinXPSP3x86 hivedump -o [虚地址]
*取得用户账号
volatility -f xp.raw –profile=WinXPSP3x86 printkey -K “SAM\Domains \Account\Users\Names“
*提取密码hash值
volatility -f 7.raw –profile=WinXPSP3x86 hashdump -y system -s SAM

 

Part 2—-Volatility 进一步分析:

1.最后一次的登录信息:运行的程序、运行多少次、运行时间
volatility -f xp.raw –profile=WinXPSP3x86 userassist

2016-12-04-22-24-30%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

2. 824(calc.exe计算器)这个具体的进程信息,-D 是输出到的文件位置。Evidence是文件位置。(通俗的说就是把某个特定进程的内存dump下来,在windows下面有个windows自己开发的dump内存的软件叫procdump,64位机器用procdump64)
volatility -f xp.raw –profile=WinXPSP3x86 memdump -p 824 -D evidence
2016-12-04-23-50-11%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be
16进制查看824.dmp
hexeditor 16 824.dmp

2016-12-05-00-09-50%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

看824.dmp(计算器进程)里的特征字符串
strings 824.dmp | more

2016-12-04-22-31-20%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

收集824.dmp中包含pass的特征字符串
strings 1456.dmp | greb pass

 

strings_pass

3.命令行历史,这个是很有价值的,因为工具者在成功后,一般是不会马上回弹图形化shell的,回弹图形化shell容易被发现,所以命令行就成了一个取证的重大线索点
volatility cmdscan -f xp.raw –profile=WinXPSP3x86

cmd_history

Add:网络连接历史
volatility netscan -f xp.raw –profile=WinXPSP3x86

5.ie history
volatility iehistory -f xp.raw –profile=WinXPSP3x86

2016-12-04-23-01-11%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

从中可以看出,dump内存的时候,ie是浏览过京东,搜狗的

 
Part 3—-插件使用及安装方式:

1.扩展插件的所在位置。
/usr/lib/python2.7/dist-packages/volatility/plugins/
大家去github上下载https://github.com/volatilityfoundation/volatility
或者是官网 http://www.volatilityfoundation.org/2015
去下载,然后放到上面的目录就好了。
当然,前面我们看了ie的历史。其实也可以下到各大浏览器的历史的扩展。比如下面的firefox:
volatility -f xp.raw –profile=Win7SP1x64 firefoxhistory

2.广度信息收集,相当是一次全面的遍历。信息量很大,但是获取的信息也很杂。
volatility -f xp.raw –profile=Win7SP1x64 timeliner

2016-12-04-23-15-54%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

 

Part 4—-补充:linux 死取证工具:
Autopsy ,经典的 webserver + 客户端架构

2016-12-04-23-18-11%e5%b1%8f%e5%b9%95%e6%88%aa%e5%9b%be

发表评论

电子邮件地址不会被公开。 必填项已用*标注