Morwenns
Гость
M
Morwenns
Гость
[HIDE][/HIDE][HIDE]Что такое форензика памяти?
Форензика памяти — это криминалистический анализ дампа памяти компьютера.
Его основное применение — расследование сложных компьютерных атак, которые достаточно скрытны, чтобы не оставлять данные на жестком диске компьютера.
Следовательно, память (RAM) должна анализироваться на предмет криминалистической информации.
Необходимые требования
Теперь погнали.
Получить имя компьютера
Инструмент: Volatility
Команда:
Получить профиль:
Вы можете просмотреть профиль volatility с помощью команды:
В Windows имеется множество переменных среды для запуска процессов, которые могут извлекать справочные данные, такие как ОС, TEMP, windir, Path… и используемое в настоящее время имя хоста будет храниться в переменной с именем COMPUTERNAME.
Вы можете просматривать переменные среды через Power Shell.
Команда:
Получить список процессов
Инструмент: Volatility
Команда:
pslist: находит и просматривает двусвязный список процессов и выводит сводку данных.
Этот метод обычно не может показать вам завершенные или скрытые процессы.
pstree: берет вывод из pslist и форматирует его в виде дерева, чтобы вы могли легко увидеть родительские и дочерние отношения.
psscan: сканирует объекты _EPROCESS, а не полагается на связанный список.
Этот плагин также может найти завершенные и несвязанные (скрытые) процессы.
psxview: находит процессы, используя списки альтернативных процессов, поэтому вы можете ссылаться на разные источники информации и выявлять вредоносные несоответствия.
Используя Redline:
Преимущества Redline в том, что он имеет очень простой в использовании интерфейс и отображает много информации о процессе.
Получить пароль
Перечислим хайв реестра
Извлем хеши
Теперь с помощью виртуального смещения SYSTEM и SAM мы можем извлечь хэши:
Посмотрим файл hashes.txt:
Взломаем хеш
Вы можете использовать локальный инструмент (например, HashCat) или какой либо онлайн-инструмент.
В этом руководстве я использую HashKiller:
Да, мы можем увидеть пароль пользователя John Doe
Срез сети
Чтобы сделать сетевое срез файла памяти, есть несколько инструментов, которые можно использовать: bulk_extractor и CapLoader.
Тут мы используем CapLoader.
CapLoader можно использовать для очистки сетевых данных дампа памяти с помощью функции вырезания пакетов из файла.
CapLoader — это инструмент Windows, предназначенный для обработки большого количества захваченного сетевого трафика.
CapLoader выполняет индексацию файлов PCAP / PcapNG и визуализирует их содержимое в виде списка потоков TCP и UDP.
Пользователи могут выбирать интересующие потоки и быстро отфильтровывать эти пакеты из загруженных файлов PCAP.
Отправка выбранных потоков / пакетов в инструмент анализатора пакетов, такой как Wireshark или NetworkMiner, выполняется одним щелчком мыши.
CapLoader — это идеальный инструмент для обработки файлов PCAP с большими данными размером до нескольких гигабайт (ГБ).
Содержимое отдельных потоков можно экспортировать в такие инструменты, как Wireshark и NetworkMiner, всего за несколько секунд.
Вы можете просмотреть и дополнительную информацию с помощью файла pcap.
P.S Файлы скачены из интернета. Возможно в файлах будет вирус. Использовать на свой страх и риск! Не рекомендуется запускать на настоящем компьютере. Материал предоставлен исключительно в ознакомительных целях.
Запускать на виртуальной машине!
[HIDE][/HIDE][HIDE][/hide][/hide]
Форензика памяти — это криминалистический анализ дампа памяти компьютера.
Его основное применение — расследование сложных компьютерных атак, которые достаточно скрытны, чтобы не оставлять данные на жестком диске компьютера.
Следовательно, память (RAM) должна анализироваться на предмет криминалистической информации.
Необходимые требования
- Инструменты:Volatility
- Redline
- Caploader
- Образ:Memory Image
Теперь погнали.
Получить имя компьютера
Инструмент: Volatility
Команда:
Код:
vol.py -f <memory_image> –profile=<profile> envars | findstr COMPUTERNAMEПолучить профиль:
Вы можете просмотреть профиль volatility с помощью команды:
Код:
> vol.py –infoВ Windows имеется множество переменных среды для запуска процессов, которые могут извлекать справочные данные, такие как ОС, TEMP, windir, Path… и используемое в настоящее время имя хоста будет храниться в переменной с именем COMPUTERNAME.
Вы можете просматривать переменные среды через Power Shell.
Команда:
Код:
Get-ChildItem EnvПолучить список процессов
Инструмент: Volatility
Команда:
Код:
vol.py -f <file_image> –profile==<profile_name> pslistpslist: находит и просматривает двусвязный список процессов и выводит сводку данных.
Этот метод обычно не может показать вам завершенные или скрытые процессы.
pstree: берет вывод из pslist и форматирует его в виде дерева, чтобы вы могли легко увидеть родительские и дочерние отношения.
psscan: сканирует объекты _EPROCESS, а не полагается на связанный список.
Этот плагин также может найти завершенные и несвязанные (скрытые) процессы.
psxview: находит процессы, используя списки альтернативных процессов, поэтому вы можете ссылаться на разные источники информации и выявлять вредоносные несоответствия.
Используя Redline:
Преимущества Redline в том, что он имеет очень простой в использовании интерфейс и отображает много информации о процессе.
Получить пароль
Перечислим хайв реестра
Извлем хеши
Теперь с помощью виртуального смещения SYSTEM и SAM мы можем извлечь хэши:
Код:
D:\volatility>vol.py -f ch2.dmp –profile=Win7SP1x86 hashdump -y 0x8b21c008 -s 0x9aad6148 > hashes.txt
Volatility Foundation Volatility Framework 2.6.1
Код:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
John Doe:1000:aad3b435b51404eeaad3b435b51404ee:b9f917853e3dbf6e6831ecce60725930:::Взломаем хеш
Вы можете использовать локальный инструмент (например, HashCat) или какой либо онлайн-инструмент.
В этом руководстве я использую HashKiller:
Да, мы можем увидеть пароль пользователя John Doe
Срез сети
Чтобы сделать сетевое срез файла памяти, есть несколько инструментов, которые можно использовать: bulk_extractor и CapLoader.
Тут мы используем CapLoader.
CapLoader можно использовать для очистки сетевых данных дампа памяти с помощью функции вырезания пакетов из файла.
CapLoader — это инструмент Windows, предназначенный для обработки большого количества захваченного сетевого трафика.
CapLoader выполняет индексацию файлов PCAP / PcapNG и визуализирует их содержимое в виде списка потоков TCP и UDP.
Пользователи могут выбирать интересующие потоки и быстро отфильтровывать эти пакеты из загруженных файлов PCAP.
Отправка выбранных потоков / пакетов в инструмент анализатора пакетов, такой как Wireshark или NetworkMiner, выполняется одним щелчком мыши.
CapLoader — это идеальный инструмент для обработки файлов PCAP с большими данными размером до нескольких гигабайт (ГБ).
Содержимое отдельных потоков можно экспортировать в такие инструменты, как Wireshark и NetworkMiner, всего за несколько секунд.
Вы можете просмотреть и дополнительную информацию с помощью файла pcap.
P.S Файлы скачены из интернета. Возможно в файлах будет вирус. Использовать на свой страх и риск! Не рекомендуется запускать на настоящем компьютере. Материал предоставлен исключительно в ознакомительных целях.
Запускать на виртуальной машине!
[HIDE][/HIDE][HIDE][/hide][/hide]
