反取证技术:内核模式下的进程隐蔽

反取证技术:内核模式下的进程隐蔽

介绍

本文是介绍恶意软件的持久性及传播性技术这一系列的第一次迭代,这些技术中大部分是研究人员几年前发现并披露的,在此介绍的目的是建立这些技术和取证方面的知识框架。

用于证明概念的代码可以在CERT的GitHub上查看。由于CERT分析师Devoteam在这个领域的经验,知识框架会不断完善。

第一篇文章将讨论DKOM(直接内核对象操纵)进程隐藏的以下几个方面:

Windows进程

隐藏直接内核对象的修改

概念性证明(PoC)

使用Volatility进行内存检测

这个概念在2004年的美国黑帽大会上被介绍,不过到现在还被用于几个内核工具,比如介绍者本人所开[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记

简介

windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深入的了解。

windows执行体对象

大量的内存取证涉及到查找定位和分析执行体对象.Windows绝大多数代码是由C语言编写,其中大量使用了C语言的结构体来组织相关数据和属性.这里面有些结[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(一):初体验

简介

承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证,下面一起来体验一下吧.

安装

最新版框架下载地址:

1.png

windows版可执行程序:http://downloads.vol[……]

[阅读全部]

布谷鸟沙箱初体验

简介

安全研究员平时在进行恶意代码分析的时候,为了避免过多重复繁杂的人工分析,首先会使用沙箱进行自动化分析,如果碰到比较新颖的样本,再考虑进一步人工分析。最近笔者体验了一下布谷鸟这款开源的沙箱即cuckoo sandbox,按照官方文档搭建环境的时候遇到了各种各样安装报错的情况,所以笔者将成功搭建流程以及自动化分析样本的流程记录了下来。

在Ubuntu中部署沙箱环境

由于笔者的物理机是windows 7 x64,所以首先安装VMware,然后使用VMware创建Ubuntu虚拟机环境.

VMware下载地址:https://download3.vmware.com/softwa[……]

[阅读全部]

Cellebrite公司专访:为FBI破解手机的以色列移动设备取证公司

今年早些时候,FBI和苹果公司因枪击案凶手的IPhone手机解锁问题大打嘴仗,而当这场旷日持久的扯皮走向精彩时,名不见经传的以色列移动取证公司Cellebrite却成为了公众焦点。

猜测

在强制要求苹果公司协助FBI解锁手机的数周后,美国司法部透露,FBI已经通过第三方成功破解并获取了涉案手机数据,无需苹果公司协助。一时间,围绕这个神秘第三方的猜测层出不穷,直到Cellebrite公司被以色列媒体披露报道

但是,也有传言认为Cellebrite公司并不是帮助FBI解锁的第三方,就连今年四月参加明尼苏达高科技犯罪论坛的Cellebrite代表也这么说,另据华盛顿邮报援引消息人[……]

[阅读全部]

详解Windows注册表分析取证

大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作。然而对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等。在本文中我将为大家详细介绍Windows注册表的工作原理,以及如何对收集用户留下的各类指纹信息。

什么是注册表?

注册表是用于存储Windows系统用户,硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的,但它可以跟踪用户的活动,连接到系统的设备,什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员,分析溯源用户的恶意或非恶意[……]

[阅读全部]

22款受欢迎的计算机取证工具

计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。

为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具。公安部门和调查机构可以根据自身情况,如预算和现有专家队伍等因素,来选取合适的取证工具。

这些电脑取证工具,也被分为了不同的类别:

  • 磁盘和数据捕获工具
  • 文件查看器
  • 文件分析工具
  • 注册表分析工具
  • 互联网分析工具
  • 电子邮件分析工具
  • 移动设备分析工[……]

[阅读全部]

基于文件系统的磁盘数据取证分析

0×1 简介

随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。NSTRT也曾协助进行过电子取证的工作,本期NSTRT将以一个假定的案例对基于磁盘的电子取证的过程进行一次讲解。

在一般的数据取证工作中,为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。在制作完镜像备份后,接下来要做的就是对镜像进行数据提取了。

本文按照数据提取的常规思路,来介绍如何利用磁盘存储和文件系统的知识来进行磁盘数据提取。

对磁盘[……]

[阅读全部]

琳迪计算机远程取证系统

随着网络的发展,一些嫌疑对象的“违规违纪行为”也日渐多样化、智能化、隐蔽化,如何在网络虚拟的世界里将违规违纪行为抽丝剥茧?如何及时掌握嫌疑对象的一举一动?如何充分获取嫌疑对象的犯罪事实?琳迪软件(2634.net)依据用户需求,结合实战经验研发出了《琳迪计算机远程取证系统》产品,该产品是针对特定对象的计算机进行远程的隐蔽取证手段,利用特殊手段占领对象的机器,从而掌握其一举一动。

产品特点:
1、支持Windows XP及以上所有版本Windows(包括Win10)
2、支持对目标计算机的实时勘验
3、内置强大的键盘回溯功能
4、支持捕获移动设备文件(U盘、移动硬盘均支持,[……]

[阅读全部]

琳迪WIFI网络取证系统

随着信息技术的发展,无线网络在社会生活的应用越来越广泛,全国各地均在建设无线城市,特别是大量的公共场所提供WIFI无线接入互联网服务及家庭无线热点的普及,智能手机、平板电脑、手提电脑的普及和WIFI上网速度快、费用低等特点,WIFI上网逐渐成为主流。
与传统的有线网络相比,无线网络终端具有流动性强、难以定位等特点。嫌疑人利用WIFI无线网络实施违法违纪行为的案件逐渐增多,特别是某些案件中重点人员利用他人网络蹭网作案等类型的案件更为突出,导致调查人员无法快速落地,错过最佳取证时机。
针对上述问题,琳迪软件(2634.net)结合实战需求自主研发了“琳迪WIFI网络取证系统”,实现了对[……]

[阅读全部]