Volatility3學習筆記
2. 系統(tǒng)基本信息(windows.info)
根據(jù)上圖可以看出以下信息:
2.1 內(nèi)存鏡像制作時間為(SystemTime): 2021年5月23日,注意這是UTC時間需要加8才是中國時區(qū)。
2.2 NTBuildLab第一個數(shù)字7601,根據(jù)Windows版本號查詢得知該系統(tǒng)為Windows 7, Service Pack 1。
2.3 Is64Bit True 表示這是一個64位系統(tǒng),結合上述版本號可知其系統(tǒng)為:Win7SP1 64位。
4.2 Wow64是用于在64位系統(tǒng)上運行32位應用程序的子系統(tǒng)。
如果值為False表示該進程是一個原生的64位應用程序,否則為32位應用程序。
4.3 Windows中4號進程固定為System,它是Windows頁面內(nèi)存管理進程。
其創(chuàng)建時間基本等于系統(tǒng)開機時間。
4.4 進程名稱,句柄數(shù),線程數(shù)這些是很多比賽中會經(jīng)常考到的值。
動態(tài)庫列表可以從內(nèi)存中搜索所有進程加載的動態(tài)庫列表,有一些關鍵字段分別是所屬進程PID,進程名稱,動態(tài)庫路徑。
需要注意可執(zhí)行文件自身也會當作動態(tài)庫顯示出來。
當需要從內(nèi)存中導出指定進程的可執(zhí)行文件時,可以采用--dump參數(shù),比如
pythonvolatility3\vol.py -f Spring-PC_memory.raw windows.dlllist --pid 2176 --dumpTips:dlllist輸出大量信息很難做查找工作,此時可以用重定向?qū)⒔Y果輸出到文件。
pythonvolatility3\vol.py -f Spring-PC_memory.raw windows.dlllist > dllresult.txt6. 賬戶信息(windows.hashdump)
只有很少的幾個字段,主要是用戶名,rid和nthash
7. 注冊表數(shù)據(jù)(windows.registry.hivelist)
上面結果只能看看,加--dump參數(shù)把注冊表文件導出來才有實際價值。
將導出的SAM,SYSTEM,SOFTWARE,SECURITY等文件放在Windows/System32/config文件夾下,加載火眼證據(jù)分析,就可以獲得更為完整的用戶數(shù)據(jù):
8. 網(wǎng)絡連接狀態(tài)(windows.netscan.NetScan)
9. 服務運行狀態(tài)(windows.svcscan)
10. 進程環(huán)境變量(windows.envars)
11. 進程緩存的文件(windows.dumpfiles)
該命令默認將內(nèi)存中全部緩存文件dump到本地目錄,所以使用改命令時務必添加--pid參數(shù),導出來的大部分都是dll。
常見惡意文件分析思路:
1. 使用windows.pstree找到其pid;
2. 根據(jù)pid使用windows.netscan.NetScan查找端口監(jiān)聽情況;
3. 根據(jù)pid使用windows.cmdline.CmdLine獲得啟動參數(shù);
4. 根據(jù)pid使用windows.handles獲得打開句柄(通常包含注冊表和文件);
5. 根據(jù)pid使用windows.dlllist 導出exe和相關dll到本地做逆向分析;