数字取证技术 :Windows内存信息提取

本文转自FREEBUF,作者:Cunlin

0×00概述

后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。

大致想了一下,主要会从以下几个方面逐一介绍吧:

–         内存

–         硬盘[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记

简介

windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(一):初体验

简介

承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一[……]

[阅读全部]