Матвеева Веста ведущий специалист по компьютерной криминалистике
Live Response vs. Memory analysis
Анализ памяти
Анализ памяти
Извлечение дампов памяти
Извлечение дампов памяти
Дамп процесса (tasklist)
Анализ дампа оперативной памяти
Volatility
Volatility
Volatility
Команды для дополнительного задания
Mandiant Redline
Mandiant Redline
Mandiant Redline
Mandiant Redline
1.18M
Категория: ИнформатикаИнформатика

Исследование дампов оперативной памяти

1. Матвеева Веста ведущий специалист по компьютерной криминалистике

Исследование дампов
оперативной памяти
Матвеева Веста
ведущий специалист по компьютерной криминалистике

2. Live Response vs. Memory analysis

http://www.cert.org/archive/pdf/08tn017.pdf

3. Анализ памяти


Извлечение:
Оперативная память
Файл подкачки «pagefile.sys»
Файл гибернации «hiberfil.sys»
Контекст
Смещение необходимых структур
Извлечение структур из памяти
Изоляция процессов
Анализ
Извлечение доказательств об активности

4. Анализ памяти

Информация, которая может быть извлечена из памяти
Процессы
Состояние реестра
Драйверы
Видео буфер (скриншоты)
Модули ядра
Память BIOS
Сведения о сетевых соединениях
Звонки VOIP
Пароли
Вредоносный код
Расшифрованные файлы
Следы работы руткитов
Последовательность вызовов
Переписка
Состояние исполнения
Сведения о конфигурации
Буфер обмена
Сведения о зарегистрированном пользователе
Буфер сетевых драйверов
Открытые файлы
Несохраненные документы
Ключи для зашифрованных контейнеров (BitLocker, PGP, TrueCrypt, BestCrypt и т.д.)

5. Извлечение дампов памяти

Command line tool
KnTTools Basic Edition
(http://www.gmgsystemsinc.com/knttools/)
MDD (http://sourceforge.net/projects/mdd/)
WinPmem
(https://volatility.googlecode.com/svn/branches/scudette/docs/p
mem.html)
Windows Memory Reader
(http://cybermarshal.com/index.php/cyber-marshalutilities/windows-memory-reader)

6. Извлечение дампов памяти

Graphical Tools
Mandiant Memoryze http://www.mandiant.com/products/free_software/memoryze/
cd %SystemVolume%%ProgramFiles%MandiantMemoryze”
MemoryDD.bat –output <directory_name>”
Nigilant32 (http://osdir.com/ml/security.forensics/200607/msg00014.html)
Moonsols Windows Memory Kit
(http://www.moonsols.com/windows-memory-toolkit/)
WindowsSCOPE (http://www.windowsscope.com/)
OSForensics (http://www.osforensics.com/)
AccessData FTK Imager
(http://accessdata.com/support/adownloads#FTKImager)
Belkasoft Live RAM Capturer (http://forensic.belkasoft.com/en/ramcapturer)

7.


AccessData FTK Imager (http://www.accessdata.com)

8. Дамп процесса (tasklist)


pmdump (http://ntsecurity.nu/toolbox/pmdump/)
pmdump PID file.txt
Process Dumper (http://www.trapkit.de/research/forensic/pd/)
pd –v –p PID > PID.dump
Userdump
userdump PID > PID.dump
Mandiant Memoryze (ProcessDD.bat)
Process Explorer (http://technet.microsoft.com/ruru/sysinternals/bb896653.aspx)

9.

PETools (http://sourceforge.net/projects/pe-tools/)

10. Анализ дампа оперативной памяти

Memory Parser memparser (http://memparser.sourceforge.net/,
http://www.dfrws.org/2005/challenge/memparser.shtml)
Volatility (https://code.google.com/p/volatility/downloads/list)
Mandiant Memoryze http://www.mandiant.com/products/free_software/memoryze/
Moonsols Windows Memory Kit
(http://www.moonsols.com/windows-memory-toolkit/)
Belkasoft Evidence Center
(http://forensic.belkasoft.com/en/analyze-ram-volatile-memory)
Mandiant Redline
(http://www.mandiant.com/resources/download/redline)

11. Volatility

Volatility – (https://code.google.com/p/volatility/downloads/list)
Установка – http://code.google.com/p/volatility/wiki/FullInstallation
Основные команды –
http://code.google.com/p/volatility/wiki/CommandReference

12. Volatility

Получаем информацию об образе
volatility-2.4.standalone.exe –f zeus.vmem imageinfo
Получаем сведения о сетевых соединениях
volatility-2.4.standalone.exe -f zeus.vmem --profile=
WinXPSP2x86 connscan
(connections (список открытых TCP-соединений), sockets
(выводит слушающие сокеты, любой протокол), sockscan
(закрытые сокеты) и для Windows 7, netscan (сетевые
соединения и сокеты))
Получаем текущие процессы на момент снятия
образа
volatility-2.4.standalone.exe -f zeus.vmem pstree

13. Volatility

Получаем содержимое раздела реестра
volatility-2.4.standalone.exe -f zeus.vmem printkey -K
"Microsoft\Windows NT\CurrentVersion\Winlogon"
Находим скрытый или инжектированный код
volatility-2.4.standalone.exe -f zeus.vmem malfind --dump-dir
malware/

14.

Volatility
Перечень всех процессов
python vol.py -f test.vmem --profile=WinXPSP2x86 pslist
Аналоги pstree и psscan (отображают скрытые и/или завершенные
процессы и время создания)
Отображает хэндлы процессов или файлов
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 handles -ВСЕ
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 handles
-p PID -- с указанием процесса PID и/или файла File
Перечень SIDs:
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 getsids
Информация о процессах и соединениях
volatility-2.4.standalone.exe -f test.vmem pslist
volatility-2.4.standalone.exe -f test.vmem connscan
volatility-2.4.standalone.exe -f test.vmem connections

15.

Volatility
Информация о подгруженных dll
volatility-2.4.standalone.exe -f test.vmem dlllist –p 1072
Вытаскиваем dll
volatility-2.4.standalone.exe -f test.vmem dlldump –p 1072 –dump-dir
malware/
Выводим консольные запросы
volatility-2.4.standalone.exe -f test.vmem consoles

16.

Volatility
Получение сведений о разделах реестра
volatility-2.4.standalone.exe -f test.vmem hivelist
Получение доступа к конкретной ветке
volatility-2.4.standalone.exe printkey -f test.vmem -o 0xe1544b60 -K
'Microsoft\Windows NT\CurrentVersion\Windows'
История запросов, вводимых в cmd
volatility-2.4.standalone.exe -f test.vmem cmdscan
Просмотр последней активности пользователя
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP2x86 userassist
> c:\userassist.txt

17.

Volatility

18. Команды для дополнительного задания

Открытые файлы, в том числе руткиты
volatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem filescan > filescan.txt
Получает встроенные в процесс с заданным PID API хуки
volatility-2.4.standalone.exe -f test.vmem -p PID apihooks
Драйверы режима ядра
volatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem modules
volatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem modscan
Анализ с помощью пакета YARA
volatility-2.4.standalone.exe -f test.vmem -p 1956 yarascan --yara-file=test.yara -D ./malware
malfind
Получает dll, прописанные в PEB для каждого процесса
volatility-2.4.standalone.exe -f test.vmem ldrmodules -v
volatility-2.4.standalone.exe -f test.vmem ldrmodules –p 680 -v
Выдергивает файл из памяти
volatility-2.4.standalone.exe -f test.vmem moddump --dump-dir evidences/ --base 0xb21d8000
volatility-2.4.standalone.exe -f test.vmem malfind –p 1928 –dump-dir evidences/

19. Mandiant Redline

20. Mandiant Redline

21. Mandiant Redline

22. Mandiant Redline

23.

Веста Матвеева
+7 (495) 984-33-64 доб.313
[email protected]
+7 (495) 984 33 64
www.group-ib.ru
[email protected]
facebook.com/groupib
twitter.com/groupib
youtube.com/groupib
linkedin.com/company/group-ib
23
English     Русский Правила