linux取证之内存取证

内存取证

1. 内存取证工具&＃xff1a;可以列出当前已经打开的文件&＃xff0c;正在活动的网络连接&＃xff0c;运行中的进程&＃xff0c;甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。
2. 传统方法&＃xff1a; 可读的文本和关键字搜索
3. 工具&＃xff1a; Volatility:内存扫描分析工具
   
   • Volatility 提供两种方法来列举内存映像中的进程&＃xff0c;一种方法是访问操作系统内核结构中的进程链来列举进程&＃xff0c;另一种方法是在内存映像中搜索所的EPROCESS结构
   • 命令&＃xff1a;python volatility pslist -f Futo-memory.dd,这种方法可以利用rootkit程序欺骗操作系统的方法瞒过程序
   • 为了对抗上述方法&＃xff0c;采用&＃xff1a;python volatiliy psscan -f Futo-memory.dd 在内存中映像中根据EPROCESS数据结构的特征搜索所有的EPROCESS结构来输出完整的进程信息&＃xff0c;pssacn得到的输出可以显示已退出进程的信息。
   • 大部分的用户进程都是由explorer.exe 启动的&＃xff0c;如果某个进程不是由它启动的则就可以进行深入分析。
   • volatility dllist -f FTTo-memory.dd 可以列举出系统中每个进程的所有DLL动态链接库
   • volatility files -f FTTo-memory.dd 显示每个进程正在访问的文件
   • volatility sockets -f FTTo-memory.dd 显示每个进程的套接字句柄
4. 方法学&＃xff08;内存取证的目的&＃xff09;&＃xff1a;
   
   • 搜集信息&＃xff1a;包括进程的详细信息&＃xff0c;网络连接信息&＃xff0c;和其他一些与潜在的恶意软件相关的信息&＃xff0c;利用这些信息与从运行系统中获得信息进行比较分析
   • 对于每个可疑的进程&＃xff0c;如果可以&＃xff0c;从内存中恢复出其可执行代码用于深度分析
   • 对于每个可疑进程&＃xff0c;从内存中提取出相关的数据&＃xff0c;例如相关的秘钥或是用户名和密码等数据。
5. 传统内存分析方法&＃xff1a;
   
   • 利用strings工具从内存映像中提取出可读文本内容
   • 利用文件提取工具从内存中恢复相关的可执行文件
6. Linux 内存取证分析
   
   1. Linux系统内核使用的所有符号的位置都由/boot 目录中的文件System.map来记录
   2. Linux系统的当前时间保存在System.map文件中的xtime变量中&＃xff1a;grep xtime System.map
      
      • 在Kali中执行时遇到错误&＃xff1a;Input/output error
   3. 定位内存数据结构&＃xff08;没看懂&＃xff09;
      
      • init_task :grep init_task System.map 错误同上
      • 上述查到的地址应该是个虚拟地址&＃xff0c;需要将其转换成物理地址&＃xff0c;在Inter系统中通常能够支持4GB的内存空间&＃xff0c;其中高位的1GB空间被分配给内核使用&＃xff0c;因此虚拟地址从0xC0000000开始&＃xff0c;将虚拟地址减去0xC0000000 就可以将虚拟地址转换成对应的物理地址。