如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?

如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?

相关阅读

杂谈

很多热心网友表示自己电脑忽然间变得非常卡,或者CPU、GPU占用率非常高,但是通过杀毒软件并不能发现什么,故接下来我们将为大家分享如何使用volatility工具调查内存中的异常进程,由此快速发现可疑的外连或者恶意软件。

视频讲解

本期视频我们将带大家使用volatility对内存进行分析,找到其中可能存在的异常,最终进行溯源取证

相关工具

图片[1]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

视频演示中使用的是2.X版本,当然,你也可以选择使用Python重写的3.X版本

图片[2]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

我们下面的图文教程以2.X为例,首先,我们使用Dumpit工具转储我们的内存

运行Dumpit.exe,然后输入y回车

图片[3]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

之后在下方会出现转储的文件

图片[4]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

可以看到有9个多GB

图片[5]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

如果Dumpit运行报错,您也可以尝试使用FTK Imager(可能需要填写申请才能获取软件,可能会比较麻烦)

图片[6]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

选择capture memory

图片[7]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

效果是类似的

我们这里将刚才用Dumpit转储的内存文件修改为memdump.mem放入和vol.exe(这个就是Volatility工具,本文最开始有下载地址)同一个目录下

图片[8]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

如果你不熟悉使用命令行,没关系,我们可以使用Volatility Workbench图形化工具

图片[9]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

打开之后,我们需要选择Browse Image

图片[10]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

Platform选择Windows

图片[11]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

点击Get Process List

图片[12]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

从这个里面我们可以发现所有的进程

图片[13]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

我们可以很快的发现有一些奇怪名称的进程,比方说ProcessHider(进程隐藏器)

图片[14]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

当然,图形化毕竟缺少很多命令,和命令行没法比,我们再看下命令行的使用,我们在目录右键,选择Open in Terminal(在终端中打开)

图片[15]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

如果你不是windows11的电脑,可能需要打开cmd,再通过cd命令,移动到这个文件所在的目录(如果是从C盘到D盘,你可能还需要输入D:回车才可以哦,这些就是简单的cmd命令了,你可以自己研究下呢)

这里命令行我们就举一个例子来讲,如何判断我的机器是否被黑客连接呢?

我们可以输入下面的命令,memdump.mem是我们一开始使用Dumpit转储的

vol.exe -f memdump.mem windows.netstat
图片[16]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

然后,我们就可以看到惊人的一幕,每一个连接的信息,我们都可以找到

图片[17]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

我们往上翻,就可以看到活跃的连接(后面显示为ESTABLISHED,代表是目前已经建立的连接)

图片[18]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

这里有很多异常的IP地址,视频中推荐的是使用https://whatismyipaddress.com/ip-lookup

图片[19]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog
图片[20]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

针对国内用户,我们推荐大家可以使用威胁情报的相关平台,比如微步情报中心

图片[21]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

这样我们可以更及时的发现,这个IP是否为异常的

图片[22]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog

比方说有的IP,我们就可以看到是有白名单的,因此,我们可以推测13.107.4.254应该是正常微软更新服务所使用的IP地址,而上方的冰岛的IP地址则可能是黑客入侵的,当然,这只是初步的判断……

图片[23]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog
图片[24]-如何判断电脑被入侵?如何通过Volatility分析内存并进行取证?-FancyPig's blog
© 版权声明
THE END
喜欢就支持一下吧
点赞18赞赏 分享
评论 共8条

请登录后发表评论