桃花在线观看视频播放,97人妻精品专区久久久久

涉及的工具：

SysInfoTools-ost-viewer-pro
volatility_2.6_lin64_standalone
VT在線工具

使用到的鏡像文件：

target1-1dd8701f.vmss
target2-6186fe9f.vmss
POS-01-c4e8f786.vmss

題干：

一名員工報(bào)告說，他的機(jī)器在收到一封可疑的安全更新電子郵件后開始出現(xiàn)奇怪的行為。事件響應(yīng)團(tuán)隊(duì)從可疑計(jì)算機(jī)中捕獲了幾個(gè)內(nèi)存轉(zhuǎn)儲(chǔ)，以供進(jìn)一步檢查。分析轉(zhuǎn)儲(chǔ)并幫助 SOC 分析師團(tuán)隊(duì)弄清楚發(fā)生了什么！

Target1

0x01 - 欺騙前臺(tái)員工安裝安全更新的電子郵箱是什么？

查看鏡像信息

/volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss imageinfo

查看進(jìn)程列表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pslist

因?yàn)轭}目已經(jīng)說了，收到了電子郵件，所以直接看outlook.exe就可以；導(dǎo)出進(jìn)程到dll目錄下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -p 3196 -n -u -D ./dll

在翻垃圾的時(shí)候，翻到了幾個(gè)ost.dat的文件，該文件其實(shí)就是微軟的郵件的一種離線格式，當(dāng)然了我說的是ost，與pts類似

這里可以不轉(zhuǎn)換格式，直接用工具打開

也可以用我上一期的玩法，解包

readpst -S file.3196.0x84eed400.Frontdesk@allsafecybersec.com - outlook2.ost.dat

0X02 - 電子郵件中用于釣魚的文件叫什么名字？

0x03 - 惡意文件家族是什么？

上面獲取到了下載地址，本來想直接拿著地址去比較的，發(fā)現(xiàn)還是天真了

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | grep AnyConnectInstaller.exe

隨便導(dǎo)出一個(gè)

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df12dd0 -D ./

下載之后的東西是帶特殊后綴的，但是不影響通過md5值比對樣本

md5sum file.None.0x85cd09a0.img

0x04 - 惡意軟件似乎正在利用進(jìn)程注入。被注入的進(jìn)程的 PID 是多少？

這道題挺牽強(qiáng)的，僅僅是內(nèi)存取證的話是很難分辨出究竟是哪一個(gè)程序可能存在進(jìn)程注入的情況，這里面不是dll注入，所以使用檢測dll注入的方式是不恰當(dāng)?shù)?/p>

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree

其實(shí)這里很多進(jìn)程都存在子進(jìn)程，所以單獨(dú)借助vol是沒辦法確定究竟哪一個(gè)才是有問題的，看了下別人的解題思路，在vt有一處進(jìn)程

恕我直言，這里面依然有很多其他的進(jìn)程被創(chuàng)建，那為什么不能是svchost呢？
后來想起從發(fā)現(xiàn)的郵件里找到的ip地址

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan | grep "180.76.254.120"

0x05- 惡意軟件在計(jì)算機(jī)重新啟動(dòng)后依然能保持自啟動(dòng)是為什么？

此題其實(shí)就是在考驗(yàn)個(gè)人對惡意軟件權(quán)限維持的一種理解，常規(guī)的惡意軟件為了保證計(jì)算機(jī)重新啟動(dòng)后自己依然能平穩(wěn)運(yùn)行，特別是在windows系統(tǒng)里便采用了多種方式，比如說計(jì)算機(jī)啟動(dòng)項(xiàng)：

C:Users用戶名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
注冊表服務(wù)
計(jì)算機(jī)HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
計(jì)算機(jī)HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
計(jì)算機(jī)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
計(jì)算機(jī)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > output.txt

此命令可以將內(nèi)存鏡像里的文件目錄信息導(dǎo)出來

全局檢索之后，沒有在類似啟動(dòng)目錄里發(fā)現(xiàn)，所以只能去找注冊表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpregistry --dump ./regedist

使用工具讀取注冊表

打擾了，后來發(fā)現(xiàn)可以直接在vt看到

0x06 - 惡意軟件通常使用唯一的值或名稱來確保系統(tǒng)上只有一個(gè)副本運(yùn)行。惡意軟件使用的唯一名稱是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 handles -p 2996 | grep "Mutant"

這里直接打印2996進(jìn)程的資源句柄；Mutant解釋如下：

在計(jì)算機(jī)科學(xué)中，"Mutant"是指一種同步原語或?qū)ο螅糜趯?shí)現(xiàn)并發(fā)編程中的互斥鎖（Mutex）。Mutant 是 Windows 操作系統(tǒng)中對應(yīng)于互斥鎖的術(shù)語。

互斥鎖（Mutex）是一種同步機(jī)制，用于控制多個(gè)線程對共享資源的訪問。它提供了一種方法，確保在任何給定時(shí)間只有一個(gè)線程可以訪問共享資源，從而避免數(shù)據(jù)競爭和不一致性。

在操作系統(tǒng)內(nèi)核中，Mutant 是通過內(nèi)核對象來實(shí)現(xiàn)的，用于協(xié)調(diào)進(jìn)程間的互斥訪問。它可以用來保護(hù)共享資源，以確保同一時(shí)間只有一個(gè)進(jìn)程能夠獲取到該資源的訪問權(quán)限。

0x07 - 似乎一個(gè)臭名昭著的黑客在當(dāng)前的攻擊者之前就破壞了這個(gè)系統(tǒng)，你能說出這個(gè)黑客出自哪部電影嗎？

這里是真沒答上來，抄襲的大佬的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep -oP '(?<=\Users\)[^\]+' | sort -u

這里我也不知道為什么人家直接定位/user ，但是根據(jù)人家的定位，看起來東西是在注冊表里，所以就可以找注冊表里的用戶數(shù)據(jù)了
可以通過查看注冊表software注冊表

這個(gè)注冊表的內(nèi)容主要是用戶的一些個(gè)人信息；這里僅僅是人家的名字，還得找電影，問題是我也沒看過啊，找也不知道哪個(gè)是

0x08 - 管理員帳戶的 NTLM 密碼哈希是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  hashdump

0x09 - 攻擊者似乎已將某些工具轉(zhuǎn)移到受感染的前臺(tái)主機(jī)。攻擊者轉(zhuǎn)移了多少工具？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

此題應(yīng)該是銜接下題，上傳的工具應(yīng)該是破解hash用的，按理說是4個(gè)，看了下別人的答案實(shí)際是3個(gè)

后來去github上搜了一下，發(fā)現(xiàn)有倆工具其實(shí)給算的一個(gè)工具

0x10 - 前臺(tái)本地管理員帳戶的密碼是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

0x11 - nbtscan.exe工具的創(chuàng)建時(shí)間戳是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  timeliner | grep 'nbtscan'

0x12 - 攻擊者似乎已將nbtscan.exe工具輸出存儲(chǔ)在名為nbs.txt的文本文件中。該文件中第一臺(tái)計(jì)算機(jī)的 IP 地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep "nbs.txt"

導(dǎo)出文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fdb7808 -D ./out

0x13- 攻擊者使用的完整 IP 地址和端口是什么？

這里使用netscan查看所有的網(wǎng)絡(luò)連接狀態(tài)

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan

為什么圈出這個(gè)呢，因?yàn)榈?題中，我們在攻擊者的電子郵件中就已經(jīng)獲取到了這個(gè)ip地址，并且我們在第四題中得出攻擊者利用iexplore.exe進(jìn)程進(jìn)行了進(jìn)程注入，同時(shí)我們在第12題得知的ip地址也能對上，所以答案就出來了

0x14 - 看來攻擊者還安裝了合法的遠(yuǎn)程管理軟件。正在運(yùn)行的進(jìn)程的名稱是什么？

這里在第13題最后面就看到了TeamViewer.exe ，或者可以執(zhí)行pslist

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   pslist

至于這里為什么一定是TeamViewer，請看繼續(xù)分析

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   cmdline

我們從這里看到了一個(gè)log日志，我們可以排查一下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   filescan | grep TeamViewer10_Logfile.log

然后導(dǎo)出這四個(gè)文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fa2e2d8,0x000000003fa564e0,0x000000003fc9b038,0x000000003fd5bbb8 -D ./TVlog

我們將log文件導(dǎo)出來之后，就可以進(jìn)去看一下，還好里面的日志不是很大，我們發(fā)現(xiàn)了里面的ip地址，與我們之前看到的攻擊者ip地址對應(yīng)了，所以這道題的答案也就呼之欲出了

0x15 - 攻擊者似乎還使用了內(nèi)置的遠(yuǎn)程訪問方法。他們連接的IP地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan | grep 3389

第一個(gè)被攻擊的機(jī)器暫時(shí)告一段落了，下一期將繼續(xù)銜接此處，第一題可以看出來，攻擊者進(jìn)行了內(nèi)網(wǎng)的橫向移動(dòng)，那么下一期將會(huì)繼續(xù)進(jìn)行溯源取證

審核編輯：劉清

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報(bào)投訴

soc

soc

+關(guān)注

關(guān)注
38

文章
4069

瀏覽量
217566
WINDOWS

WINDOWS

+關(guān)注

關(guān)注
3

文章
3510

瀏覽量
88220
POS

POS

+關(guān)注

關(guān)注
3

文章
119

瀏覽量
28261

原文標(biāo)題：Windows內(nèi)存取證-中等難度-上篇

文章出處：【微信號：哆啦安全，微信公眾號：哆啦安全】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

WiFi基礎(chǔ)知識解析

一、wifi基礎(chǔ)1、詳細(xì)見如下鏈接（1）WiFi基礎(chǔ)知識解析（2）WiFi基本知識（3）11種物聯(lián)網(wǎng)協(xié)議簡介，如WiFi、藍(lán)牙、ZigBee、蜂窩等二、wifi模塊淺析1、WiFi模塊淺析

發(fā)表于 08-05 08:10

Windows XP操作系統(tǒng)內(nèi)存條優(yōu)化指南

Windows XP操作系統(tǒng)內(nèi)存條優(yōu)化指南雖然Windows XP是一個(gè)很出色的操作系統(tǒng)，但它對內(nèi)存的要求是在是驚人，即使是128兆內(nèi)存

發(fā)表于 01-11 11:45 ?718次閱讀

計(jì)算機(jī)取證工具及方式

本內(nèi)容講述了計(jì)算機(jī)取證技術(shù)，如何進(jìn)行計(jì)算機(jī)取證，計(jì)算機(jī)取證工具及方式等知識

發(fā)表于 05-07 15:11 ?4257次閱讀

Windows CE 進(jìn)程、線程和內(nèi)存管理三

三、內(nèi)存管理同其它Windows操作系統(tǒng)一樣，Windows CE.NET也支持32位虛擬內(nèi)存機(jī)制、按需分配內(nèi)存和

發(fā)表于 11-08 10:30 ?0次下載

DMA—直接內(nèi)存存取

【*】程序簡介 -工程名稱：DMA直接內(nèi)存存取 -實(shí)驗(yàn)平臺(tái): 秉火STM32 F429 開發(fā)板 -MDK版本：5.16 -ST固件庫版本：1.5.1 【！】功能簡介：使用DMA把內(nèi)存數(shù)據(jù)傳輸

發(fā)表于 12-13 15:09 ?9次下載

基于內(nèi)存云的大塊數(shù)據(jù)對象并行存取策略

了基于內(nèi)存云的大塊數(shù)據(jù)對象并行存取策略。該存儲(chǔ)策略首先將大塊數(shù)據(jù)對象分割成若干個(gè)1 MB的小塊數(shù)據(jù)對象，然后在客戶端生成數(shù)據(jù)摘要，最后使用并行存儲(chǔ)算法將客戶端分割成的小塊數(shù)據(jù)對象存儲(chǔ)在內(nèi)存云集群中。讀取時(shí)首先讀取數(shù)據(jù)摘要，然后根

發(fā)表于 12-17 11:02 ?0次下載

內(nèi)存取證的內(nèi)核完整性度量方法

額外的硬件使得系統(tǒng)成本較高；基于Hypervisor的內(nèi)核完整性度量方法，應(yīng)用復(fù)雜的VMM帶來的系統(tǒng)性能損失較大．針對現(xiàn)有方法存在的不足，提出了基于內(nèi)存取證的內(nèi)核完整性度量方法KIMBMF．該方法采用內(nèi)存取證分析技術(shù)提取靜態(tài)和動(dòng)態(tài)度量對象

發(fā)表于 01-10 14:52 ?2次下載

基于浮點(diǎn)系列芯片ADSP2106x中的直接內(nèi)存存取技術(shù)研究

直接內(nèi)存存取（DMA）對計(jì)算機(jī)系統(tǒng)是非常重要的。它可以使CPU在運(yùn)行指令的同時(shí)，系統(tǒng)能實(shí)現(xiàn)從外部存儲(chǔ)器或設(shè)備中存取數(shù)據(jù)，也可以在CPU不參與的情況下，由專用的DMA設(shè)備存取數(shù)據(jù)。

發(fā)表于 07-10 19:21 ?1137次閱讀

電路板電鍍基礎(chǔ)知識匯總（上篇）資料下載

電子發(fā)燒友網(wǎng)為你提供電路板電鍍基礎(chǔ)知識匯總（上篇）資料下載的電子資料下載，更有其他相關(guān)的電路圖、源代碼、課件教程、中文資料、英文資料、參考設(shè)計(jì)、用戶指南、解決方案等資料，希望可以幫助到廣大的電子工程師們。

發(fā)表于 04-02 08:42 ?15次下載

簡述SCL -CPU內(nèi)存區(qū)域的索引存取

也能夠用一外索引來存取CPU的內(nèi)存區(qū)域。與絕對地址比較，此方式的優(yōu)點(diǎn)是能夠用變量索引動(dòng)態(tài)尋址。例如，能夠?qū)OR循環(huán)的控制變量用作地址。執(zhí)行索引存取內(nèi)存區(qū)域與絕對方式的做法一樣，僅提

發(fā)表于 04-16 10:45 ?2233次閱讀

Windows驅(qū)動(dòng)類型及基礎(chǔ)知識

Windows驅(qū)動(dòng)類型及基礎(chǔ)知識

發(fā)表于 07-14 10:02 ?14次下載

SCL-CPU內(nèi)存區(qū)域的索引存取

執(zhí)行索引存取內(nèi)存區(qū)域與絕對方式的做法一樣，僅提供了地址的長處。取代絕對地址，指定的索引能夠是一個(gè)常量、一個(gè)變量或一個(gè)算術(shù)表達(dá)式。

發(fā)表于 06-02 16:11 ?1516次閱讀

Volatility取證大殺器

Volatility是一款開源的內(nèi)存取證軟件，支持Windows、Mac、linux（kali下等等）環(huán)境下使用。并且分別有Volatility2與Volatility3兩個(gè)大版本，依次需要在py2、py3的環(huán)境下進(jìn)行使用，也要確保系統(tǒng)中已安裝環(huán)境，安裝pycrpto庫函

發(fā)表于 10-28 11:19 ?2982次閱讀

初識內(nèi)存取證-volatility與Easy_dump

Volatility是一款非常強(qiáng)大的內(nèi)存取證工具,它是由來自全世界的數(shù)百位知名安全專家合作開發(fā)的一套工具, 可以用于windows,linux,mac osx,android等系統(tǒng)內(nèi)存取證。

發(fā)表于 03-01 13:39 ?2997次閱讀

虹科分享 | 關(guān)于內(nèi)存取證你應(yīng)該知道的那些事

什么是內(nèi)存取證？內(nèi)存取證是指在計(jì)算機(jī)或其他數(shù)字設(shè)備運(yùn)行時(shí)，通過對其隨時(shí)存儲(chǔ)的內(nèi)存數(shù)據(jù)進(jìn)行采集、分析和提取，以獲取有關(guān)設(shè)備狀態(tài)、操作過程和可能存在的安全事件的信息。內(nèi)存取證是數(shù)字

發(fā)表于 08-01 11:21 ?1434次閱讀