2.6　內存分析

在應急響應過程中，除了上述幾個通用的排查項，有時也需要對應急響應服務器進行內存的提取，從而分析其中的隱藏進程。

1.內存的獲取

內存的獲取方法有如下幾種：

基于用戶模式程序的內存獲取；

基于內核模式程序的內存獲取；

基于系統(tǒng)崩潰轉儲的內存獲取；

基于操作系統(tǒng)注入的內存獲取；

基于系統(tǒng)休眠文件的內存獲取；

基于虛擬化快照的內存獲取；

基于系統(tǒng)冷啟動的內存獲取；

基于硬件的內存獲取。

以下主要介紹幾種最常用的內存獲取方法。

1）基于內核模式程序的內存獲取

這種獲取方法一般需要借助相關的工具來完成。常用的提取工具有Dumpit、Redline、RAM Capturer、FTK Imager等。圖2.6.1和圖2.6.2分別是RAM Capturer及FTK Imager獲取內存的操作界面。

2）基于系統(tǒng)崩潰轉儲的內存獲取

打開【系統(tǒng)屬性】對話框，選擇【高級】選項卡，單擊【啟動和故障恢復】中的【設置】按鈕，打開【啟動和故障恢復】對話框，選擇【核心內存轉儲】并找到轉儲文件進行獲取。如圖2.6.3所示。

3）基于虛擬化快照的內存獲取

這種獲取方法是通過VMware Workstation、ESXI等虛擬化軟件實現的。VMware Workstation在生成快照時會自動生成虛擬內存文件，使用VMware Workstation生成的虛擬內存文件如圖2.6.4所示。

2.內存的分析

對于內存的分析，一般需要借助相應的工具來進行，以下簡單介紹幾個常用工具。

1）Redline

在獲取內存文件后，可以使用Redline進行導入分析，其主要收集在主機上運行的有關進程信息、內存中的驅動程序，以及其他數據，如元數據、注冊表數據、任務、服務、網絡信息和Internet歷史記錄等，最終生成報告。使用Redline進行內存分析的界面如圖2.6.5 所示。

2）Volatility

Volatility是一個開源的內存取證工具，可以分析入侵攻擊痕跡，包括網絡連接、進程、服務、驅動模塊、DLL、handles、進程注入、cmd歷史命令、IE瀏覽器歷史記錄、啟動項、用戶、shimcache、userassist、部分rootkit隱藏文件、cmdliner等。這里以一個獲取的內存鏡像為例，介紹Volatility的一般用法。

對內存鏡像中的網絡連接情況進行排查，使用命令【netscan】，可以列出內存鏡像中的網絡連接的情況，如圖2.6.6所示。

使用【psxview】命令，可查看內存鏡像中帶有隱藏進程的所有進程列表。使用【psxview】命令排查隱藏進程，發(fā)現存在隱藏進程dllhost.exe，如圖2.6.7和圖2.6.8所示。

使用【malfind】命令，可查找隱藏或注入的代碼、DLL，如圖2.6.9和圖2.6.10所示。

使用【cmdscan】命令，可提取執(zhí)行的相關命令記錄，如圖2.6.11所示。

使用【procdump】命令，可提取進程文件。可通過制定進程的PID的值來對特定的進程文件進行提取，如使用【procdump-p 2476-D】命令提取進程文件，如圖2.6.12所示，

可以分析內存中提取出的文件，從而判別文件是否有惡意行為。最簡單的方法是把提取出的文件上傳到virustotal平臺并進行掃描，如圖2.6.13所示。