如何判断电脑被入侵？如何通过Volatility分析内存并进行取证？

相关阅读

杂谈

很多热心网友表示自己电脑忽然间变得非常卡，或者CPU、GPU占用率非常高，但是通过杀毒软件并不能发现什么，故接下来我们将为大家分享如何使用volatility工具调查内存中的异常进程，由此快速发现可疑的外连或者恶意软件。

视频讲解

本期视频我们将带大家使用volatility对内存进行分析，找到其中可能存在的异常，最终进行溯源取证

相关工具

视频演示中使用的是2.X版本，当然，你也可以选择使用Python重写的3.X版本

我们下面的图文教程以2.X为例，首先，我们使用Dumpit工具转储我们的内存

运行Dumpit.exe，然后输入y回车

之后在下方会出现转储的文件

可以看到有9个多GB

如果Dumpit运行报错，您也可以尝试使用FTK Imager（可能需要填写申请才能获取软件，可能会比较麻烦）

选择capture memory

效果是类似的

我们这里将刚才用Dumpit转储的内存文件修改为memdump.mem放入和vol.exe（这个就是Volatility工具，本文最开始有下载地址）同一个目录下

如果你不熟悉使用命令行，没关系，我们可以使用Volatility Workbench图形化工具

打开之后，我们需要选择Browse Image

Platform选择Windows

点击Get Process List

从这个里面我们可以发现所有的进程

我们可以很快的发现有一些奇怪名称的进程，比方说ProcessHider（进程隐藏器）

当然，图形化毕竟缺少很多命令，和命令行没法比，我们再看下命令行的使用，我们在目录右键，选择Open in Terminal（在终端中打开）

如果你不是windows11的电脑，可能需要打开cmd，再通过cd命令，移动到这个文件所在的目录（如果是从C盘到D盘，你可能还需要输入D:回车才可以哦，这些就是简单的cmd命令了，你可以自己研究下呢）

这里命令行我们就举一个例子来讲，如何判断我的机器是否被黑客连接呢？

我们可以输入下面的命令，memdump.mem是我们一开始使用Dumpit转储的

vol.exe -f memdump.mem windows.netstat

然后，我们就可以看到惊人的一幕，每一个连接的信息，我们都可以找到

我们往上翻，就可以看到活跃的连接（后面显示为ESTABLISHED，代表是目前已经建立的连接）

这里有很多异常的IP地址，视频中推荐的是使用https://whatismyipaddress.com/ip-lookup

针对国内用户，我们推荐大家可以使用威胁情报的相关平台，比如微步情报中心

这样我们可以更及时的发现，这个IP是否为异常的

比方说有的IP，我们就可以看到是有白名单的，因此，我们可以推测13.107.4.254应该是正常微软更新服务所使用的IP地址，而上方的冰岛的IP地址则可能是黑客入侵的，当然，这只是初步的判断……