Похожие презентации:
Исследование дампов оперативной памяти
1. Матвеева Веста ведущий специалист по компьютерной криминалистике
Исследование дамповоперативной памяти
Матвеева Веста
ведущий специалист по компьютерной криминалистике
2. Live Response vs. Memory analysis
http://www.cert.org/archive/pdf/08tn017.pdf3. Анализ памяти
Извлечение:
Оперативная память
Файл подкачки «pagefile.sys»
Файл гибернации «hiberfil.sys»
Контекст
Смещение необходимых структур
Извлечение структур из памяти
Изоляция процессов
Анализ
Извлечение доказательств об активности
4. Анализ памяти
Информация, которая может быть извлечена из памятиПроцессы
Состояние реестра
Драйверы
Видео буфер (скриншоты)
Модули ядра
Память BIOS
Сведения о сетевых соединениях
Звонки VOIP
Пароли
Вредоносный код
Расшифрованные файлы
Следы работы руткитов
Последовательность вызовов
Переписка
Состояние исполнения
Сведения о конфигурации
Буфер обмена
Сведения о зарегистрированном пользователе
Буфер сетевых драйверов
Открытые файлы
Несохраненные документы
Ключи для зашифрованных контейнеров (BitLocker, PGP, TrueCrypt, BestCrypt и т.д.)
5. Извлечение дампов памяти
Command line toolKnTTools Basic Edition
(http://www.gmgsystemsinc.com/knttools/)
MDD (http://sourceforge.net/projects/mdd/)
WinPmem
(https://volatility.googlecode.com/svn/branches/scudette/docs/p
mem.html)
Windows Memory Reader
(http://cybermarshal.com/index.php/cyber-marshalutilities/windows-memory-reader)
6. Извлечение дампов памяти
Graphical ToolsMandiant Memoryze http://www.mandiant.com/products/free_software/memoryze/
cd %SystemVolume%%ProgramFiles%MandiantMemoryze”
MemoryDD.bat –output <directory_name>”
Nigilant32 (http://osdir.com/ml/security.forensics/200607/msg00014.html)
Moonsols Windows Memory Kit
(http://www.moonsols.com/windows-memory-toolkit/)
WindowsSCOPE (http://www.windowsscope.com/)
OSForensics (http://www.osforensics.com/)
AccessData FTK Imager
(http://accessdata.com/support/adownloads#FTKImager)
Belkasoft Live RAM Capturer (http://forensic.belkasoft.com/en/ramcapturer)
7.
AccessData FTK Imager (http://www.accessdata.com)
8. Дамп процесса (tasklist)
pmdump (http://ntsecurity.nu/toolbox/pmdump/)
pmdump PID file.txt
Process Dumper (http://www.trapkit.de/research/forensic/pd/)
pd –v –p PID > PID.dump
Userdump
userdump PID > PID.dump
Mandiant Memoryze (ProcessDD.bat)
Process Explorer (http://technet.microsoft.com/ruru/sysinternals/bb896653.aspx)
9.
PETools (http://sourceforge.net/projects/pe-tools/)10. Анализ дампа оперативной памяти
Memory Parser memparser (http://memparser.sourceforge.net/,http://www.dfrws.org/2005/challenge/memparser.shtml)
Volatility (https://code.google.com/p/volatility/downloads/list)
Mandiant Memoryze http://www.mandiant.com/products/free_software/memoryze/
Moonsols Windows Memory Kit
(http://www.moonsols.com/windows-memory-toolkit/)
Belkasoft Evidence Center
(http://forensic.belkasoft.com/en/analyze-ram-volatile-memory)
Mandiant Redline
(http://www.mandiant.com/resources/download/redline)
11. Volatility
Volatility – (https://code.google.com/p/volatility/downloads/list)Установка – http://code.google.com/p/volatility/wiki/FullInstallation
Основные команды –
http://code.google.com/p/volatility/wiki/CommandReference
12. Volatility
Получаем информацию об образеvolatility-2.4.standalone.exe –f zeus.vmem imageinfo
Получаем сведения о сетевых соединениях
volatility-2.4.standalone.exe -f zeus.vmem --profile=
WinXPSP2x86 connscan
(connections (список открытых TCP-соединений), sockets
(выводит слушающие сокеты, любой протокол), sockscan
(закрытые сокеты) и для Windows 7, netscan (сетевые
соединения и сокеты))
Получаем текущие процессы на момент снятия
образа
volatility-2.4.standalone.exe -f zeus.vmem pstree
13. Volatility
Получаем содержимое раздела реестраvolatility-2.4.standalone.exe -f zeus.vmem printkey -K
"Microsoft\Windows NT\CurrentVersion\Winlogon"
Находим скрытый или инжектированный код
volatility-2.4.standalone.exe -f zeus.vmem malfind --dump-dir
malware/
14.
VolatilityПеречень всех процессов
python vol.py -f test.vmem --profile=WinXPSP2x86 pslist
Аналоги pstree и psscan (отображают скрытые и/или завершенные
процессы и время создания)
Отображает хэндлы процессов или файлов
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 handles -ВСЕ
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 handles
-p PID -- с указанием процесса PID и/или файла File
Перечень SIDs:
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP3x86 getsids
Информация о процессах и соединениях
volatility-2.4.standalone.exe -f test.vmem pslist
volatility-2.4.standalone.exe -f test.vmem connscan
volatility-2.4.standalone.exe -f test.vmem connections
15.
VolatilityИнформация о подгруженных dll
volatility-2.4.standalone.exe -f test.vmem dlllist –p 1072
Вытаскиваем dll
volatility-2.4.standalone.exe -f test.vmem dlldump –p 1072 –dump-dir
malware/
Выводим консольные запросы
volatility-2.4.standalone.exe -f test.vmem consoles
16.
VolatilityПолучение сведений о разделах реестра
volatility-2.4.standalone.exe -f test.vmem hivelist
Получение доступа к конкретной ветке
volatility-2.4.standalone.exe printkey -f test.vmem -o 0xe1544b60 -K
'Microsoft\Windows NT\CurrentVersion\Windows'
История запросов, вводимых в cmd
volatility-2.4.standalone.exe -f test.vmem cmdscan
Просмотр последней активности пользователя
volatility-2.4.standalone.exe -f test.vmem --profile=WinXPSP2x86 userassist
> c:\userassist.txt
17.
Volatility18. Команды для дополнительного задания
Открытые файлы, в том числе руткитыvolatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem filescan > filescan.txt
Получает встроенные в процесс с заданным PID API хуки
volatility-2.4.standalone.exe -f test.vmem -p PID apihooks
Драйверы режима ядра
volatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem modules
volatility-2.4.standalone.exe --profile=WinXPSP2x86 -f test.vmem modscan
Анализ с помощью пакета YARA
volatility-2.4.standalone.exe -f test.vmem -p 1956 yarascan --yara-file=test.yara -D ./malware
malfind
Получает dll, прописанные в PEB для каждого процесса
volatility-2.4.standalone.exe -f test.vmem ldrmodules -v
volatility-2.4.standalone.exe -f test.vmem ldrmodules –p 680 -v
Выдергивает файл из памяти
volatility-2.4.standalone.exe -f test.vmem moddump --dump-dir evidences/ --base 0xb21d8000
volatility-2.4.standalone.exe -f test.vmem malfind –p 1928 –dump-dir evidences/
19. Mandiant Redline
20. Mandiant Redline
21. Mandiant Redline
22. Mandiant Redline
23.
Веста Матвеева+7 (495) 984-33-64 доб.313
[email protected]
+7 (495) 984 33 64
www.group-ib.ru
[email protected]
facebook.com/groupib
twitter.com/groupib
youtube.com/groupib
linkedin.com/company/group-ib
23