定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。)
工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。
基本命令:
-
volatility -f imageinfo +文件名 用imageinfo插件得到一些profile类型 的基本信息。
-
volatility -f +文件名 pslist --profile=系统 再查看进程信息
-
volatility -f +文件名 pslist --profile= 系统 |grep notepad 搜索指定的指定插件notepad。
-
volatility notepad -f +文件 pslist --profile=系统 用notepad插件读取出里面的内容。
| 常用命令 | 功能 |
|---|---|
| cmdline/cmdscan | 列出历史cmd命令 |
| filescan | 扫描文件,可配合grep使用 |
| pslist/psscan | 列出进程列表 |
| netscan | 扫描建立的连接和套接字,类似于netstat |
| svcscan | 扫描windows服务列表 |
| screenshot | 显示GDI样式的截屏 |
| memdump | 从内存dump进程的内存 |
| dumpfiles | 从内存dump文件 |
| Dumpregistry | 提取日志文件 |
| Dlllist | 显示每个进程的加载dll列表 |
- volatility将进程内存dump下来,然后利用Gimp(GNU Image Manipulation Program,GNU图像处理程序,它是一个图像处理与合成工具。)打开内存数据,查看镜像中的系统界面。volatility -f mem.data --profile=Win7SP1x64 memdump -p 2768 --dump-dir=./
重要信息的收集顺序
RFC 3227
RFC 3227提供了获取数字证据的许多做法,比如,收集数据的顺序可以决定调查的成败。
这个顺序称为波动顺序(Volatility Order),顾名思义,调查人员必须首先收集易消失的数据。易失性数据是系统关闭时可能丢失的任何数据,例如连接到仍然在RAM中注册的网站。调查人员必须将先从最不稳定的证据中开始收集数据:
(1)缓存
(2)路由表,进程表,内存
(3)临时系统文件
(4)硬盘
(5)远程日志,监控数据
(6)物理网络配置,网络拓扑
(7)媒体文件(CD,DVD)
RAM内存分析
-
随机存储器(random access memory,RAM)是一种允许读写的存储器,用于数字电子设备。运行程序时,将其读入存储设备。例如,CD被传送到RAM,然后由处理器运行。访问RAM有很多优势,比如它具有比硬盘高得多的传输速率。
-
当计算机打开时,引导系统的引导过程将重新把库,驱动程序和首选项设置复制回RAM。 RAM存储器可以把可执行程序和网络通信端口信息拷贝到操作系统日志文件,Web浏览日志,照片,文本文件等的几种类型的文件。
扩展
DiskGenius 是一款专业级的 数据恢复软件,算法精湛、功能强大,使用人数最多;支持各种情况下的文件恢复、分区恢复,恢复效果最好;文件预览、扇区编辑、加密分区恢复、Ext4分区恢复、RAID恢复等高级功能应有尽有,专业人士的不二之选! 还是一款强大的备份软件,可以方便的备份或克隆硬盘或分区。安全可靠,是国内开发历史最长、使用人数最多的硬盘分区备份软件;功能全面,支持增量备份及多点还原、热备份、系统备份等众多特性。
