Исследование дампов оперативной памяти Матвеева Веста ведущий специалист

Исследование дампов оперативной памяти Матвеева Веста ведущий специалист по компьютерной криминалистике

Live Response vs. Memory analysis http: //www. cert. org/archive/pdf/08 tn 017. pdf

Анализ памяти • • • Извлечение: Оперативная память Файл подкачки «pagefile. sys» Файл гибернации «hiberfil. sys» Контекст Смещение необходимых структур Извлечение структур из памяти Изоляция процессов Анализ Извлечение доказательств об активности

Анализ памяти Информация, которая может быть извлечена из памяти Процессы Состояние реестра Драйверы Видео буфер (скриншоты) Модули ядра Память BIOS Сведения о сетевых соединениях Звонки VOIP Пароли Вредоносный код Расшифрованные файлы Следы работы руткитов Последовательность вызовов Переписка Состояние исполнения Сведения о конфигурации Буфер обмена Сведения о зарегистрированном пользователе Буфер сетевых драйверов Открытые файлы Несохраненные документы Ключи для зашифрованных контейнеров (Bit. Locker, PGP, True. Crypt, Best. Crypt и т. д. )

Извлечение дампов памяти Command line tool • • Kn. TTools Basic Edition (http: //www. gmgsystemsinc. com/knttools/) MDD (http: //sourceforge. net/projects/mdd/) Win. Pmem (https: //volatility. googlecode. com/svn/branches/scudette/docs/p mem. html) Windows Memory Reader (http: //cybermarshal. com/index. php/cyber-marshalutilities/windows-memory-reader)

Извлечение дампов памяти Graphical Tools • Mandiant Memoryze http: //www. mandiant. com/products/free_software/memoryze/ cd %System. Volume%%Program. Files%Mandiant. Memoryze” Memory. DD. bat –output ” • Nigilant 32 (http: //osdir. com/ml/security. forensics/200607/msg 00014. html) • Moonsols Windows Memory Kit (http: //www. moonsols. com/windows -memory-toolkit/) • Windows. SCOPE (http: //www. windowsscope. com/) • OSForensics (http: //www. osforensics. com/) • Access. Data FTK Imager (http: //accessdata. com/support/adownloads#FTKImager) • Belkasoft Live RAM Capturer (http: //forensic. belkasoft. com/en/ramcapturer)

• Access. Data FTK Imager (http: //www. accessdata. com)

Дамп процесса (tasklist) • pmdump (http: //ntsecurity. nu/toolbox/pmdump/) pmdump PID file. txt • Process Dumper (http: //www. trapkit. de/research/forensic/pd/) pd –v –p PID > PID. dump • Userdump • userdump PID > PID. dump • Mandiant Memoryze (Process. DD. bat) • Process Explorer (http: //technet. microsoft. com/ruru/sysinternals/bb 896653. aspx)

PETools (http: //sourceforge. net/projects/pe-tools/)

Анализ дампа оперативной памяти ® Memory Parser memparser (http: //memparser. sourceforge. net/, http: //www. dfrws. org/2005/challenge/memparser. shtml) ® Volatility (https: //code. google. com/p/volatility/downloads/list) ® Mandiant Memoryze http: //www. mandiant. com/products/free_software/memoryze/ ® Moonsols Windows Memory Kit (http: //www. moonsols. com/windows-memory-toolkit/) ® Belkasoft Evidence Center (http: //forensic. belkasoft. com/en/analyze-ram-volatile-memory) ® Mandiant Redline (http: //www. mandiant. com/resources/download/redline)

Volatility – (https: //code. google. com/p/volatility/downloads/list) Установка – http: //code. google. com/p/volatility/wiki/Full. Installation Основные команды – http: //code. google. com/p/volatility/wiki/Command. Reference

Volatility Получаем информацию об образе volatility-2. 4. standalone. exe –f zeus. vmem imageinfo Получаем сведения о сетевых соединениях volatility-2. 4. standalone. exe -f zeus. vmem --profile= Win. XPSP 2 x 86 connscan (connections (список открытых TCP-соединений), sockets (выводит слушающие сокеты, любой протокол), sockscan (закрытые сокеты) и для Windows 7, netscan (сетевые соединения и сокеты)) Получаем текущие процессы на момент снятия образа volatility-2. 4. standalone. exe -f zeus. vmem pstree

Volatility Получаем содержимое раздела реестра volatility-2. 4. standalone. exe -f zeus. vmem printkey -K "MicrosoftWindows NTCurrent. VersionWinlogon" Находим скрытый или инжектированный код volatility-2. 4. standalone. exe -f zeus. vmem malfind --dump-dir malware/

Volatility Перечень всех процессов python vol. py -f test. vmem --profile=Win. XPSP 2 x 86 pslist Аналоги pstree и psscan (отображают скрытые и/или завершенные процессы и время создания) Отображает хэндлы процессов или файлов volatility-2. 4. standalone. exe -f test. vmem --profile=Win. XPSP 3 x 86 handles -ВСЕ volatility-2. 4. standalone. exe -f test. vmem --profile=Win. XPSP 3 x 86 handles -p PID -- с указанием процесса PID и/или файла File Перечень SIDs: volatility-2. 4. standalone. exe -f test. vmem --profile=Win. XPSP 3 x 86 getsids Информация о процессах и соединениях volatility-2. 4. standalone. exe -f test. vmem pslist volatility-2. 4. standalone. exe -f test. vmem connscan volatility-2. 4. standalone. exe -f test. vmem connections

Volatility Информация о подгруженных dll volatility-2. 4. standalone. exe -f test. vmem dlllist –p 1072 Вытаскиваем dll volatility-2. 4. standalone. exe -f test. vmem dlldump –p 1072 –dump-dir malware/ Выводим консольные запросы volatility-2. 4. standalone. exe -f test. vmem consoles

Volatility Получение сведений о разделах реестра volatility-2. 4. standalone. exe -f test. vmem hivelist Получение доступа к конкретной ветке volatility-2. 4. standalone. exe printkey -f test. vmem -o 0 xe 1544 b 60 -K 'MicrosoftWindows NTCurrent. VersionWindows' История запросов, вводимых в cmd volatility-2. 4. standalone. exe -f test. vmem cmdscan Просмотр последней активности пользователя volatility-2. 4. standalone. exe -f test. vmem --profile=Win. XPSP 2 x 86 userassist > c: userassist. txt

Volatility

Команды для дополнительного задания Открытые файлы, в том числе руткиты volatility-2. 4. standalone. exe --profile=Win. XPSP 2 x 86 -f test. vmem filescan > filescan. txt Получает встроенные в процесс с заданным PID API хуки volatility-2. 4. standalone. exe -f test. vmem -p PID apihooks Драйверы режима ядра volatility-2. 4. standalone. exe --profile=Win. XPSP 2 x 86 -f test. vmem modules volatility-2. 4. standalone. exe --profile=Win. XPSP 2 x 86 -f test. vmem modscan Анализ с помощью пакета YARA volatility-2. 4. standalone. exe -f test. vmem -p 1956 yarascan --yara-file=test. yara -D. /malware malfind Получает dll, прописанные в PEB для каждого процесса volatility-2. 4. standalone. exe -f test. vmem ldrmodules -v volatility-2. 4. standalone. exe -f test. vmem ldrmodules –p 680 -v Выдергивает файл из памяти volatility-2. 4. standalone. exe -f test. vmem moddump --dump-dir evidences/ --base 0 xb 21 d 8000 volatility-2. 4. standalone. exe -f test. vmem malfind –p 1928 –dump-dir evidences/

Mandiant Redline

Mandiant Redline

Mandiant Redline

Mandiant Redline

Веста Матвеева +7 (495) 984 -33 -64 доб. 313 matveeva@group-ib. ru +7 (495) 984 33 64 www. group-ib. ru info@group-ib. ru facebook. com/groupib twitter. com/groupib youtube. com/groupib linkedin. com/company/group-ib 23