什么是內(nèi)存取證?
內(nèi)存取證是指在計算機或其他數(shù)字設備運行時,通過對其隨時存儲的內(nèi)存數(shù)據(jù)進行采集、分析和提取,以獲取有關設備狀態(tài)、操作過程和可能存在的安全事件的信息。內(nèi)存取證是數(shù)字取證的一個重要分支,用于從計算機的RAM(隨機存取存儲器)或其他設備的內(nèi)存中提取關鍵信息,以便了解設備在特定時間點的狀態(tài)和活動。
內(nèi)存取證的主要目的?
內(nèi)存取證的主要目的是獲取在計算機或設備內(nèi)存中暫時存儲的數(shù)據(jù),這些數(shù)據(jù)在設備重啟或關機后通常會丟失。通過內(nèi)存取證,可以獲取運行中的進程、正在打開的文件、網(wǎng)絡連接、注冊表項、加密密鑰和密碼等敏感信息,這些信息對于數(shù)字取證、安全威脅分析和惡意活動檢測都非常重要。
內(nèi)存取證通常在計算機遭受安全事件、系統(tǒng)崩潰、惡意軟件感染、取證調(diào)查等情況下使用。取證人員使用專業(yè)的取證工具和技術,對目標計算機或設備的內(nèi)存進行快照或鏡像,并在另一個設備上進行分析。由于內(nèi)存數(shù)據(jù)的易失性,取證人員必須在盡可能短的時間內(nèi)采集和分析數(shù)據(jù),以確保數(shù)據(jù)的完整性和準確性。
內(nèi)存取證的步驟
- 采集內(nèi)存鏡像:首先,需要采集目標計算機或設備的內(nèi)存鏡像。內(nèi)存鏡像是對內(nèi)存中所有數(shù)據(jù)的完整快照,通常通過專用的取證工具來完成。常用的內(nèi)存采集工具包括Volatility、FTK Imager、DumpIt等。
- 確保取證完整性:在采集內(nèi)存鏡像之前,確保目標計算機或設備處于關閉或凍結狀態(tài),以避免數(shù)據(jù)被覆蓋或修改。內(nèi)存鏡像的采集過程應該盡量快速,以減少數(shù)據(jù)的丟失。
- 分析內(nèi)存鏡像:將采集的內(nèi)存鏡像導入到內(nèi)存取證工具中進行分析。在分析過程中,可以查看進程列表、網(wǎng)絡連接、打開的文件、注冊表項、內(nèi)存映像和其他運行時數(shù)據(jù)。
- 查找惡意代碼和漏洞:在內(nèi)存鏡像中查找潛在的惡意代碼、惡意進程或漏洞,以便確認是否存在安全威脅。
- 尋找證據(jù):根據(jù)需求,在內(nèi)存鏡像中查找可能的證據(jù),例如密碼、加密密鑰、聊天記錄、瀏覽器歷史記錄等。這些證據(jù)可能對調(diào)查和取證提供重要支持。
- 進行關聯(lián)分析:將內(nèi)存鏡像中的數(shù)據(jù)與其他取證數(shù)據(jù)進行關聯(lián)分析,例如硬盤鏡像、網(wǎng)絡日志等,以獲取更全面的信息。
- 提取數(shù)據(jù):根據(jù)需要,從內(nèi)存鏡像中提取重要的數(shù)據(jù)和證據(jù)。提取的數(shù)據(jù)應該保存為可讀格式,并做好記錄和標記。
- 生成取證報告:根據(jù)分析結果,撰寫詳細的內(nèi)存取證報告,包括取證過程、發(fā)現(xiàn)的證據(jù)、結論和建議等。報告應該清晰明了,以便其他人理解和參考。
- 保護數(shù)據(jù)完整性:在進行內(nèi)存取證的過程中,務必確保數(shù)據(jù)的完整性和準確性。采用適當?shù)陌踩胧苊鈱?nèi)存數(shù)據(jù)造成修改或破壞。
內(nèi)存取證和數(shù)字取證之間的關系
內(nèi)存取證是數(shù)字取證的一個重要分支,它們之間有著密切的關系。下面簡要介紹內(nèi)存取證和數(shù)字取證之間的關系。
- 數(shù)據(jù)來源:
- 數(shù)字取證通常涉及對計算機硬盤、存儲設備、網(wǎng)絡數(shù)據(jù)等靜態(tài)數(shù)據(jù)的分析。這些數(shù)據(jù)通常在計算機或設備關閉后保留,并且可以在之后進行取證分析。
-內(nèi)存取證則專注于獲取計算機或設備在運行時的實時數(shù)據(jù)。內(nèi)存中的數(shù)據(jù)在設備重啟或關機后通常會丟失,因此內(nèi)存取證需要在設備運行期間進行。
2. 相互補充:
-內(nèi)存取證和數(shù)字取證相互補充,提供了更全面的取證和分析能力。通過數(shù)字取證可以獲取硬盤、存儲設備等靜態(tài)數(shù)據(jù),而內(nèi)存取證提供了計算機運行時的實時數(shù)據(jù),兩者結合可以提供更全面、深入的取證信息。
3. 應用場景:
-數(shù)字取證廣泛應用于網(wǎng)絡安全、計算機取證、企業(yè)內(nèi)部調(diào)查和法律證據(jù)收集等領域。
-內(nèi)存取證通常在計算機遭受安全事件、系統(tǒng)崩潰、惡意軟件感染、取證調(diào)查等情況下使用。
內(nèi)存取證的實例
- 獲取內(nèi)存鏡像:首先需要獲取目標計算機的內(nèi)存鏡像,可以通過物理獲取(例如使用內(nèi)存采集工具將內(nèi)存保存到文件中)或虛擬獲取(例如從虛擬機中導出內(nèi)存快照)來獲得內(nèi)存鏡像。
- 分析內(nèi)存鏡像:
導入內(nèi)存鏡像:使用Volatility工具,將采集到的內(nèi)存鏡像導入到分析環(huán)境中,準備進行取證分析。

選擇插件:根據(jù)需要選擇合適的插件來進行分析,例如"pslist"插件用于列出進程信息,"connections"插件用于查看網(wǎng)絡連接信息等。
3. 進程和線程分析:
使用"pslist"插件查看內(nèi)存中運行的所有進程,并列出每個進程的ID、父進程ID、執(zhí)行路徑等信息。
使用"pstree"插件可以以樹狀圖形式查看進程之間的層次結構關系。

使用"psxview"插件可以查看隱藏進程和模塊信息。
4. 文件系統(tǒng)和注冊表分析:
使用"filescan"插件掃描內(nèi)存中的文件對象,然后使用"dumpfiles"插件將文件導出到本地磁盤進行分析。
使用"hivelist"插件查找內(nèi)存中加載的注冊表文件,并使用"hivedump"插件將注冊表導出到本地進行分析。

5. 使用工具對可疑文件進行檢查和掃描(如Virustotal),這里不僅可以使用可疑的可執(zhí)行文件,也可以使用文件的SHA1進行查詢。


6. 可以使用逆向分析工具(如IDA)對包進行逆向分析。

從IDA中將匯編轉換為偽代碼,我們可以發(fā)現(xiàn)它具有DLLEntryPoint。這似乎是DLL進入系統(tǒng)的時間。然后它調(diào)用CreateProcessNotify。注意RegCreateKeyA。“Software//Microsoft//Windows//CurrentVersion/run”是正常的寄存器,它可以控制計算機自動運行和加載攻擊者想要計算機使用的程序。
在對寄存器執(zhí)行某些操作之后,該進程開始掃描文件夾路徑并遍歷文檔。


最重要的一點是,這個過程試圖清理緩存:"ericpotic.com"和"mashevserv.com"。這兩個網(wǎng)站似乎與僵尸網(wǎng)絡有關。攻擊者控制僵尸網(wǎng)絡,利用僵尸網(wǎng)絡對客戶端進行入侵。

如果您對內(nèi)存取證感興趣的話,可以咨詢虹科SecurityScorecard產(chǎn)品的內(nèi)存取證服務;如果您對終端安全保護產(chǎn)品感興趣的話,可以了解虹科Morphisec產(chǎn)品以及我們的終端安全保護解決方案。
虹科推薦
網(wǎng)絡安全評級
虹科網(wǎng)絡安全評級是一個安全風險評估平臺,使企業(yè)能夠以非侵入和由外而內(nèi)的方式,對全球任何公司的安全風險進行即時評級、響應和持續(xù)監(jiān)測。
隨著數(shù)字化轉型的加速,云服務,IoT,越來越緊密的第三方供應商等,企業(yè)如果只關注自己組織內(nèi)部的安全遠遠不夠,越來越多的數(shù)據(jù)泄露/安全事件是由第三方供應鏈引起的。虹科網(wǎng)絡安全評級方案最全面的量化(A-F評分)企業(yè)自身及第三方供應鏈的網(wǎng)絡安全情況,獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。讓企業(yè)能夠實時把握自身及第三方供應商的網(wǎng)絡安全健康情況,及時避免潛在網(wǎng)絡安全/數(shù)據(jù)泄露帶來對企業(yè)業(yè)務和信譽影響的風險。
該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法,對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。網(wǎng)絡安全評級提供十個不同風險因素評分的詳細報告:應用安全、端點安全、CUBIT評分、DNS健康、黑客通訊、IP信譽、信息泄露、網(wǎng)絡安全、修補頻率、社會工程。
虹科網(wǎng)絡安全評級為各行各業(yè)的大小型企業(yè)提供最準確、最透明、最全面的安全風險評級。
虹科入侵防御方案
虹科終端安全解決方案,針對最高級的威脅提供了以預防為優(yōu)先的安全,阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標防御(AMTD)技術為支持。AMTD是一項提高網(wǎng)絡防御水平并改變游戲規(guī)則的新興技術,能夠阻止勒索軟件、供應鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明,AMTD是網(wǎng)絡的未來,其提供了超輕量級深度防御安全層,以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下,針對無法檢測的網(wǎng)絡攻擊縮小他們的運行時內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護900萬臺Windows和Linux服務器、工作負載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。
虹科摩菲斯的自動移動目標防御ATMD做到了什么?
1、主動進行預防(簽名、規(guī)則、IOCs/IOA);
2、主動自動防御運行時內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件;
3、在執(zhí)行時立即阻止惡意軟件;
4、為舊版本操作系統(tǒng)提供全面保護;
5、可以忽略不計的性能影響(CPU/RAM);
6、無誤報,通過確定警報優(yōu)先級來減少分析人員/SOC的工作量。
-
內(nèi)存
+關注
關注
8文章
3111瀏覽量
75017 -
網(wǎng)絡安全
+關注
關注
11文章
3303瀏覽量
61150
發(fā)布評論請先 登錄
虹科活動 | 廣州示波器診斷體驗交流日圓滿落幕!NVH專場即將上線!

光伏電站智能運維系統(tǒng)解決電站運維的那些頭疼事

虹科直播回放 | IO-Link技術概述與虹科IO-Link OEM

虹科直播 | 2月18日開講!IO-Link技術深度解析!解鎖虹科自研產(chǎn)品+積分好禮!

虹科電子12月事件回顧
虹科培訓 | 重磅來襲!波形分析課程全面上線!

虹科活動回顧 | 波形診斷開放日-上海站圓滿落幕!

萬字干貨!虹科CAN XL研討會問答,你想知道的都在這里!

虹科培訓 | 重磅升級!全新模式月底開班,你想學的都在這里!

虹科應用 為什么虹科PCAN方案能成為石油工程通訊的首選?

關于陶瓷電路板你不知道的事

虹科方案 領航智能交通革新:虹科PEAK智行定位車控系統(tǒng)Demo版亮相

虹科應用 當CANoe不是唯一選擇:發(fā)現(xiàn)虹科PCAN-Explorer 6

解密元器件批次:你應該知道的那些事

評論