​

​​RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένας ζωηρός συναντήσεων τεχνολογίας και επαγγελματιών κυβερνοασφάλειας σε κάθε ειδικότητα.

RootedCONRootedCON

Εάν θέλετε κάτι γρήγορο και τρελό που θα εκτελέσει πολλά πρόσθετα Volatility παράλληλα, μπορείτε να χρησιμοποιήσετε: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

Εγκατάσταση

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h

volatility2

Download the executable from https://www.volatilityfoundation.org/26

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py install

Εντολές Volatility

Αποκτήστε πρόσβαση στο επίσημο έγγραφο στο Αναφορά εντολών Volatility

Σημείωση για τα πρόσθετα "list" έναντι "scan"

Το Volatility έχει δύο κύριες προσεγγίσεις για τα πρόσθετα, οι οποίες καμιά φορά αντανακλώνται στα ονόματά τους. Τα πρόσθετα "list" θα προσπαθήσουν να πλοηγηθούν μέσω των δομών του πυρήνα των Windows για να ανακτήσουν πληροφορίες όπως διεργασίες (εντοπισμός και περιήγηση στη συνδεδεμένη λίστα δομών _EPROCESS στη μνήμη), λαβές του λειτουργικού συστήματος (εντοπισμός και καταγραφή του πίνακα λαβών, αναφορά σε οποιουσδήποτε δείκτες βρεθούν κλπ). Συμπεριφέρονται περίπου όπως θα έκανε η διεπαφή προγραμματισμού εφαρμογών των Windows αν ζητούνταν, για παράδειγμα, η καταγραφή διεργασιών.

Αυτό καθιστά τα πρόσθετα "list" αρκετά γρήγορα, αλλά ευάλωτα όπως και η διεπαφή προγραμματισμού εφαρμογών των Windows στην παρεμβολή κακόβουλου λογισμικού. Για παράδειγμα, αν το κακόβουλο λογισμικό χρησιμοποιεί DKOM για να αποσυνδέσει μια διεργασία από τη συνδεδεμένη λίστα δομών _EPROCESS, δεν θα εμφανιστεί στον Διαχειριστή Εργασιών και ούτε στο pslist.

Τα πρόσθετα "scan", από την άλλη πλευρά, θα ακολουθήσουν μια προσέγγιση παρόμοια με το να αναζητούν στη μνήμη πράγματα που θα είχαν νόημα όταν αναφέρονται ως συγκεκριμένες δομές. Το psscan για παράδειγμα θα διαβάσει τη μνήμη και θα προσπαθήσει να δημιουργήσει αντικείμενα _EPROCESS από αυτήν (χρησιμοποιεί ανίχνευση με βάση τα pool-tag, που αναζητά 4-byte αλφαριθμητικά που υποδηλώνουν την ύπαρξη μιας δομής που ενδιαφέρει). Το πλεονέκτημα είναι ότι μπορεί να ανακαλύψει διεργασίες που έχουν τερματιστεί και ακόμα κι αν το κακόβουλο λογισμικό παρεμβάλλει τη συνδεδεμένη λίστα δομών _EPROCESS, το πρόσθετο θα βρει ακόμα τη δομή που βρίσκεται στη μνήμη (καθώς πρέπει ακόμα να υπάρχει για να εκτελεστεί η διεργασία). Το μειονέκτημα είναι ότι τα πρόσθετα "scan" είναι λίγο πιο αργά από τα πρόσθετα "list" και μπορεί να παράγουν μερικές φορές ψευδείς θετικά αποτελέσματα (μια διεργασία που τερματίστηκε πριν από πολύ καιρό και έχει αντικατασταθεί με άλλες λειτουργίες).

Από: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

Προφίλ Λειτουργικού Συστήματος

Volatility3

Όπως εξηγείται στο readme, πρέπει να τοποθετήσετε τον πίνακα συμβόλων του λειτουργικού συστήματος που θέλετε να υποστηρίξετε μέσα στο volatility3/volatility/symbols. Οι πακέτα πίνακα συμβόλων για τα διάφορα λειτουργικά συστήματα είναι διαθέσιμα για λήψη στις παρακάτω διευθύνσεις:

• https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip

• https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip

• https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

Volatility2

Εξωτερικό Προφίλ

Μπορείτε να λάβετε τη λίστα των υποστηριζόμενων προφίλ κάνοντας:

./volatility_2.6_lin64_standalone --info | grep "Profile"

Εάν θέλετε να χρησιμοποιήσετε ένα νέο προφίλ που έχετε κατεβάσει (για παράδειγμα ένα για Linux), πρέπει να δημιουργήσετε κάπου την ακόλουθη δομή φακέλων: plugins/overlays/linux και να τοποθετήσετε μέσα σε αυτόν τον φάκελο το αρχείο zip που περιέχει το προφίλ. Στη συνέχεια, πάρτε τον αριθμό των προφίλ χρησιμοποιώντας:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

Μπορείτε να κατεβάσετε προφίλ Linux και Mac από https://github.com/volatilityfoundation/profiles

Στο προηγούμενο τμήμα μπορείτε να δείτε ότι το προφίλ ονομάζεται LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64, και μπορείτε να το χρησιμοποιήσετε για να εκτελέσετε κάτι όπως:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

Ανακάλυψη Προφίλ

volatility -f <memory_dump> imageinfo

Χρησιμοποιήστε την εντολή αυτή για να ανακαλύψετε πληροφορίες σχετικά με το προφίλ της μνήμης που αναλύετε.

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

Διαφορές μεταξύ imageinfo και kdbgscan

Από εδώ: Αντίθετα με το imageinfo που απλώς παρέχει προτάσεις για προφίλ, το kdbgscan σχεδιάστηκε για να αναγνωρίζει θετικά το σωστό προφίλ και τη σωστή διεύθυνση KDBG (αν υπάρχουν πολλαπλές). Αυτό το πρόσθετο σαρώνει για τις υπογραφές KDBGHeader που συνδέονται με τα προφίλ του Volatility και εφαρμόζει ελέγχους λογικής για να μειώσει τα ψευδή θετικά. Η αναλυτικότητα της έξοδου και ο αριθμός των ελέγχων λογικής που μπορούν να πραγματοποιηθούν εξαρτώνται από το αν το Volatility μπορεί να βρει ένα DTB, οπότε αν ήδη γνωρίζετε το σωστό προφίλ (ή αν έχετε μια πρόταση προφίλ από το imageinfo), βεβαιωθείτε ότι το χρησιμοποιείτε από .

Πάντα ρίξτε μια ματιά στον αριθμό των διεργασιών που βρήκε το kdbgscan. Μερικές φορές το imageinfo και το kdbgscan μπορούν να βρουν περισσότερα από ένα κατάλληλα προφίλ, αλλά μόνο το έγκυρο θα έχει σχετικές διεργασίες (Αυτό συμβαίνει επειδή για να εξαχθούν οι διεργασίες απαιτείται η σωστή διεύθυνση KDBG)

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)

# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

Το kernel debugger block, γνωστό ως KDBG από το Volatility, είναι κρίσιμο για τις αναλύσεις που πραγματοποιεί το Volatility και διάφορα εργαλεία αποσφαλμάτωσης. Αναγνωρίζεται ως KdDebuggerDataBlock και είναι τύπου _KDDEBUGGER_DATA64. Περιέχει σημαντικές αναφορές όπως το PsActiveProcessHead. Αυτή η συγκεκριμένη αναφορά δείχνει στην κεφαλή της λίστας διεργασιών, επιτρέποντας την καταγραφή όλων των διεργασιών, που είναι θεμελιώδες για μια λεπτομερή ανάλυση μνήμης.

Πληροφορίες Λειτουργικού Συστήματος

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

Το πρόσθετο banners.Banners μπορεί να χρησιμοποιηθεί στο vol3 για να αναζητήσει linux banners στο dump.

Hashes/Κωδικοί πρόσβασης

Εξαγάγετε τους SAM hashes, domain cached credentials και lsa secrets.

vol3

Copy

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit ή το winpmem.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Volatility για να εκτελέσετε αναλύσεις όπως την εύρεση διεργασιών, των ανοιχτών αρχείων και των συνδέσεων δικτύου.

3. Ανίχνευση κακόβουλου λογισμικού: Με τη χρήση της ανάλυσης αποτυπώματος μνήμης, μπορείτε να ανιχνεύσετε κακόβουλο λογισμικό που εκτελείται στο σύστημα. Μπορείτε να εξετάσετε τις διεργασίες, τα αρχεία και τις συνδέσεις δικτύου για ενδείξεις κακόβουλης δραστηριότητας.

4. Ανάκτηση δεδομένων: Τέλος, μπορείτε να χρησιμοποιήσετε την ανάλυση αποτυπώματος μνήμης για την ανάκτηση δεδομένων που έχουν διαγραφεί από το σύστημα. Μπορείτε να εξάγετε αρχεία, κωδικούς πρόσβασης και άλλες πληροφορίες που μπορεί να είναι χρήσιμες για την ανάκτηση δεδομένων.

Αυτή η βασική μεθοδολογία μπορεί να χρησιμοποιηθεί ως αφετηρία για πιο προηγμένες τεχνικές ανάλυσης αποτυπωμάτων μνήμης.

Copy

volatility --profile=Win7SP1x86_23418 hashdump -f file.dmp #Grab common windows hashes (SAM+SYSTEM)
volatility --profile=Win7SP1x86_23418 cachedump -f file.dmp #Grab domain cache hashes inside the registry
volatility --profile=Win7SP1x86_23418 lsadump -f file.dmp #Grab lsa secrets

Ανάλυση Αντιγράφου Μνήμης

Το αντίγραφο μνήμης ενός διεργασίας θα εξάγει τα πάντα για την τρέχουσα κατάσταση της διεργασίας. Το module procdump θα εξάγει μόνο τον κώδικα.

Copy

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

​​​RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή να προωθήσει την τεχνική γνώση, αυτό το συνέδριο είναι ένας ζωντανός συναντήσεων χώρος για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε ειδικότητα.

RootedCONRootedCON

Διεργασίες

Λίστα διεργασιών

Προσπαθήστε να βρείτε ύποπτες διεργασίες (βάσει ονόματος) ή απροσδόκητες παιδικές διεργασίες (για παράδειγμα ένα cmd.exe ως παιδί του iexplorer.exe). Μπορεί να είναι ενδιαφέρον να συγκρίνετε το αποτέλεσμα της pslist με αυτό της psscan για να αναγνωρίσετε κρυφές διεργασίες.

vol3

Copy

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Αυτό περιλαμβάνει την εντοπισμό και την ανάκτηση δεδομένων, την αναγνώριση διεργασιών και νημάτων, καθώς και την ανίχνευση κακόβουλου λογισμικού.

3. Ανάκτηση δεδομένων: Αφού ολοκληρωθεί η ανάλυση, μπορείτε να προχωρήσετε στην ανάκτηση δεδομένων από το αποτύπωμα της μνήμης. Αυτό μπορεί να περιλαμβάνει την ανάκτηση αρχείων, κωδικών πρόσβασης και άλλων ευαίσθητων πληροφοριών.

4. Ανάλυση ευπαθειών ασφαλείας: Τέλος, μπορείτε να αναλύσετε το αποτύπωμα της μνήμης για να εντοπίσετε ευπάθειες ασφαλείας στο σύστημα. Αυτό μπορεί να σας βοηθήσει να προστατεύσετε το σύστημα σας από επιθέσεις και να βελτιώσετε την ασφάλεια του.

Αυτή η βασική μεθοδολογία μπορεί να χρησιμοποιηθεί ως αφετηρία για περαιτέρω ανάλυση και έρευνα στον τομέα της ανάλυσης αποτυπωμάτων μνήμης.

Copy

volatility --profile=PROFILE pstree -f file.dmp # Get process tree (not hidden)
volatility --profile=PROFILE pslist -f file.dmp # Get process list (EPROCESS)
volatility --profile=PROFILE psscan -f file.dmp # Get hidden process list(malware)
volatility --profile=PROFILE psxview -f file.dmp # Get hidden process list

Ανάλυση του αποτυπώματος μνήμης

vol3

Copy

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit ή το winpmem.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Volatility για να εκτελέσετε αναλύσεις όπως την εύρεση διεργασιών, των ανοιχτών αρχείων και των συνδέσεων δικτύου.

3. Ανίχνευση κακόβουλου λογισμικού: Με τη χρήση της ανάλυσης αποτυπώματος μνήμης, μπορείτε να ανιχνεύσετε κακόβουλο λογισμικό που εκτελείται στο σύστημα. Μπορείτε να εξετάσετε τις διεργασίες, τα αρχεία και τις συνδέσεις δικτύου για ενδείξεις κακόβουλης δραστηριότητας.

4. Ανάκτηση δεδομένων: Τέλος, μπορείτε να χρησιμοποιήσετε την ανάλυση αποτυπώματος μνήμης για την ανάκτηση δεδομένων που έχουν διαγραφεί από το σύστημα. Μπορείτε να εξάγετε αρχεία, κωδικούς πρόσβασης και άλλες πληροφορίες που μπορεί να είναι χρήσιμες για την ανάκτηση δεδομένων.

Αυτή η βασική μεθοδολογία μπορεί να χρησιμοποιηθεί ως αφετηρία για πιο προηγμένες τεχνικές ανάλυσης αποτυπωμάτων μνήμης.

Copy

volatility --profile=Win7SP1x86_23418 procdump --pid=3152 -n --dump-dir=. -f file.dmp

Εντολή γραμμής

Έχει εκτελεστεί κάτι ύποπτο;

Copy

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit ή το winpmem.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Volatility για να εκτελέσετε αναλύσεις όπως την εύρεση διεργασιών, των ανοιχτών αρχείων και των συνδέσεων δικτύου.

3. Ανίχνευση κακόβουλου λογισμικού: Με τη χρήση της ανάλυσης αποτυπώματος μνήμης, μπορείτε να ανιχνεύσετε κακόβουλο λογισμικό που εκτελείται στο σύστημα. Μπορείτε να εξετάσετε τις διεργασίες, τα αρχεία και τις συνδέσεις δικτύου για ενδείξεις κακόβουλης δραστηριότητας.

4. Ανάκτηση δεδομένων: Τέλος, μπορείτε να χρησιμοποιήσετε την ανάλυση αποτυπώματος μνήμης για την ανάκτηση δεδομένων που έχουν διαγραφεί από το σύστημα. Μπορείτε να εξάγετε αρχεία, κωδικούς πρόσβασης και άλλες πληροφορίες που μπορεί να είναι χρήσιμες για την ανάκτηση δεδομένων.

Αυτή η βασική μεθοδολογία μπορεί να χρησιμοποιηθεί ως αφετηρία για πιο προηγμένες τεχνικές ανάλυσης αποτυπωμάτων μνήμης.

Copy

volatility --profile=PROFILE cmdline -f file.dmp #Display process command-line arguments
volatility --profile=PROFILE consoles -f file.dmp #command history by scanning for _CONSOLE_INFORMATION

Οι εντολές που εκτελούνται στο cmd.exe διαχειρίζονται από τον conhost.exe (ή csrss.exe σε συστήματα πριν τα Windows 7). Αυτό σημαίνει ότι αν το cmd.exe τερματιστεί από έναν επιτιθέμενο πριν ληφθεί ένα αντίγραφο μνήμης, είναι ακόμα δυνατή η ανάκτηση του ιστορικού εντολών της συνεδρίας από τη μνήμη του conhost.exe. Για να γίνει αυτό, αν ανιχνευθεί ασυνήθιστη δραστηριότητα στις μονάδες της κονσόλας, πρέπει να γίνει αντιγραφή της μνήμης της σχετικής διεργασίας conhost.exe. Στη συνέχεια, αναζητώντας συμβολοσειρές μέσα σε αυτό το αντίγραφο, μπορούν πιθανώς να εξαχθούν οι γραμμές εντολών που χρησιμοποιήθηκαν στη συνεδρία.

Περιβάλλον

Λάβετε τις μεταβλητές περιβάλλοντος κάθε εκτελούμενης διεργασίας. Μπορεί να υπάρχουν κάποιες ενδιαφέρουσες τιμές.

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος μπορεί να χρησιμοποιηθεί για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανακάλυψη ευπαθειών και την ανάκτηση δεδομένων.

Βήματα Βασικής Μεθοδολογίας

1. Συλλογή Αποτυπώματος Μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit, το winpmem ή το LiME.

2. Ανάλυση Αποτυπώματος Μνήμης: Στο επόμενο βήμα, πρέπει να αναλύσετε το αποτύπωμα της μνήμης που συλλέξατε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility.

3. Ανίχνευση Κακόβουλου Λογισμικού: Με τη χρήση του Volatility, μπορείτε να ανιχνεύσετε κακόβουλο λογισμικό στο αποτύπωμα της μνήμης. Αυτό μπορεί να περιλαμβάνει την ανίχνευση τροποποιημένων διεργασιών, κακόβουλων καταχωρήσεων καταλόγων και άλλων ενδείξεων κακόβουλης δραστηριότητας.

4. Ανάκτηση Δεδομένων: Τέλος, μπορείτε να ανακτήσετε δεδομένα από το αποτύπωμα της μνήμης. Αυτό μπορεί να περιλαμβάνει την ανάκτηση κωδικών πρόσβασης, αρχείων, ιστορικού περιήγησης και άλλων ευαίσθητων πληροφοριών.

Εργαλεία Ανάλυσης Αποτυπώματος Μνήμης

Υπάρχουν πολλά εργαλεία που μπορούν να χρησιμοποιηθούν για την ανάλυση αποτυπωμάτων μνήμης. Ορισμένα από αυτά είναι:

• Volatility: Το Volatility είναι ένα από τα πιο δημοφιλή εργαλεία για την ανάλυση αποτυπωμάτων μνήμης. Παρέχει πολλά plugins για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανάκτηση δεδομένων και άλλες λειτουργίες.

• Rekall: Το Rekall είναι ένα ισχυρό εργαλείο ανάλυσης αποτυπωμάτων μνήμης που παρέχει πολλές λειτουργίες για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανάκτηση δεδομένων και άλλες εργασίες.

• LiME: Το LiME είναι ένα εργαλείο που χρησιμοποιείται για τη συλλογή αποτυπωμάτων μνήμης από συστήματα Linux. Είναι εύκολο στη χρήση και παρέχει πολλές επιλογές για την ανάλυση των αποτυπωμάτων.

Αυτά είναι μερικά από τα βασικά βήματα και εργαλεία που μπορούν να χρησιμοποιηθούν για την ανάλυση αποτυπωμάτων μνήμης. Με τη χρήση αυτών των μεθόδων και εργαλείων, μπορείτε να ανακαλύψετε πολλές πληροφορίες και να αναλύσετε την κακόβουλη δραστηριότητα σε ένα σύστημα.

volatility --profile=PROFILE envars -f file.dmp [--pid <pid>] #Display process environment variables

volatility --profile=PROFILE -f file.dmp linux_psenv [-p <pid>] #Get env of process. runlevel var means the runlevel where the proc is initated

Δικαιώματα διακριτικών

Ελέγξτε για διακριτικά δικαιωμάτων σε αναπάντεχες υπηρεσίες. Μπορεί να είναι ενδιαφέρον να καταγράψετε τις διεργασίες που χρησιμοποιούν κάποιο διακριτικό με προνομιούχα δικαιώματα.

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος μπορεί να χρησιμοποιηθεί για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Η ανάλυση αποτυπώματος μνήμης μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility. Το Volatility είναι ένα εργαλείο ανοιχτού κώδικα που επιτρέπει την ανάλυση αποτυπωμάτων μνήμης από διάφορα λειτουργικά συστήματα, όπως τα Windows, τα Linux και τα macOS.

Η βασική μεθοδολογία ανάλυσης αποτυπώματος μνήμης περιλαμβάνει τα εξής βήματα:

1. Απόκτηση αποτυπώματος μνήμης: Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το LiME ή το Winpmem.

2. Ανάλυση αποτυπώματος μνήμης: Χρησιμοποιώντας το Volatility, μπορούμε να εκτελέσουμε διάφορες εντολές για την ανάλυση του αποτυπώματος μνήμης. Οι εντολές αυτές μπορούν να μας παράσχουν πληροφορίες για τις διεργασίες, τα νήματα, τα αντικείμενα και άλλα στοιχεία που υπάρχουν στη μνήμη.

3. Ανάκτηση δεδομένων: Με τη χρήση του Volatility, μπορούμε επίσης να ανακτήσουμε δεδομένα από το αποτύπωμα μνήμης, όπως αρχεία, κωδικούς πρόσβασης και ιστορικό περιήγησης.

Η ανάλυση αποτυπώματος μνήμης είναι μια ισχυρή τεχνική που μπορεί να χρησιμοποιηθεί για την ανίχνευση και την αντιμετώπιση κυβερνοεπιθέσεων. Με την κατανόηση της βασικής μεθοδολογίας ανάλυσης αποτυπώματος μνήμης και τη χρήση του εργαλείου Volatility, μπορείτε να αποκτήσετε πολύτιμες πληροφορίες για τα συστήματα που εξετάζετε.

#Get enabled privileges of some processes
volatility --profile=Win7SP1x86_23418 privs --pid=3152 -f file.dmp | grep Enabled
#Get all processes with interesting privileges
volatility --profile=Win7SP1x86_23418 privs -f file.dmp | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

SIDs

Ελέγξτε κάθε SSID που ανήκει σε ένα διεργασία. Μπορεί να είναι ενδιαφέρον να αναφέρετε τις διεργασίες που χρησιμοποιούν ένα SID προνομίων (και τις διεργασίες που χρησιμοποιούν κάποιο SID υπηρεσίας).

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Αυτό περιλαμβάνει την εντοπισμό και την ανάκτηση δεδομένων, την αναγνώριση διεργασιών και νημάτων, καθώς και την ανίχνευση κακόβουλου λογισμικού.

3. Ανάκτηση δεδομένων: Αφού ολοκληρωθεί η ανάλυση, μπορείτε να προχωρήσετε στην ανάκτηση δεδομένων από το αποτύπωμα της μνήμης. Αυτό μπορεί να περιλαμβάνει την ανάκτηση αρχείων, κωδικών πρόσβασης και άλλων ευαίσθητων πληροφοριών.

4. Ανάλυση ευπαθειών ασφαλείας: Τέλος, μπορείτε να αναλύσετε το αποτύπωμα της μνήμης για να εντοπίσετε ευπάθειες ασφαλείας στο σύστημα. Αυτό μπορεί να σας βοηθήσει να προστατεύσετε το σύστημα σας από επιθέσεις και να βελτιώσετε την ασφάλεια του.

Αυτή ήταν μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης. Μπορείτε να χρησιμοποιήσετε αυτήν τη μέθοδο για να ανακαλύψετε πολλές πληροφορίες από τη μνήμη ενός συστήματος και να βελτιώσετε την ασφάλεια του.

volatility --profile=Win7SP1x86_23418 getsids -f file.dmp #Get the SID owned by each process
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp #Get the SID of each service

Χειριστές

Χρήσιμο για να γνωρίζετε σε ποια άλλα αρχεία, κλειδιά, νήματα, διεργασίες... ένα πρόγραμμα έχει έναν χειριστή (έχει ανοίξει)

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος είναι χρήσιμη για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Παρακάτω παρουσιάζεται μια βασική μεθοδολογία για την ανάλυση αποτυπώματος μνήμης:

1. Συλλογή αποτυπώματος μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit ή το winpmem.

2. Ανάλυση αποτυπώματος μνήμης: Στη συνέχεια, πρέπει να αναλύσετε το αποτύπωμα της μνήμης για να εξάγετε πληροφορίες. Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Volatility για να εκτελέσετε αναλύσεις όπως την εύρεση διεργασιών, των ανοιχτών αρχείων και των συνδέσεων δικτύου.

3. Ανίχνευση κακόβουλου λογισμικού: Με τη χρήση της ανάλυσης αποτυπώματος μνήμης, μπορείτε να ανιχνεύσετε κακόβουλο λογισμικό που εκτελείται στο σύστημα. Μπορείτε να εξετάσετε τις διεργασίες, τα αρχεία και τις συνδέσεις δικτύου για ενδείξεις κακόβουλης δραστηριότητας.

4. Ανάκτηση δεδομένων: Τέλος, μπορείτε να χρησιμοποιήσετε την ανάλυση αποτυπώματος μνήμης για την ανάκτηση δεδομένων που έχουν διαγραφεί από το σύστημα. Μπορείτε να εξάγετε αρχεία, κωδικούς πρόσβασης και άλλες πληροφορίες που μπορεί να είναι χρήσιμες για την ανάκτηση δεδομένων.

Αυτή η βασική μεθοδολογία μπορεί να χρησιμοποιηθεί ως αφετηρία για πιο προηγμένες τεχνικές ανάλυσης αποτυπωμάτων μνήμης.

volatility --profile=Win7SP1x86_23418 -f file.dmp handles [--pid=<pid>]

DLLs

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

volatility --profile=Win7SP1x86_23418 dlllist --pid=3152 -f file.dmp #Get dlls of a proc
volatility --profile=Win7SP1x86_23418 dlldump --pid=3152 --dump-dir=. -f file.dmp #Dump dlls of a proc

Συμβολοσειρές ανά διεργασίες

Το Volatility μας επιτρέπει να ελέγξουμε σε ποια διεργασία ανήκει μια συμβολοσειρά.

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

strings file.dmp > /tmp/strings.txt
volatility -f /tmp/file.dmp windows.strings.Strings --string-file /tmp/strings.txt

volatility -f /tmp/file.dmp --profile=Win81U1x64 memdump -p 3532 --dump-dir .
strings 3532.dmp > strings_file

Επίσης, επιτρέπει την αναζήτηση για αλφαριθμητικά μέσα σε ένα διεργασία χρησιμοποιώντας το μοντέλο yarascan:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

volatility --profile=Win7SP1x86_23418 yarascan -Y "https://" -p 3692,3840,3976,3312,3084,2784

UserAssist

Το Windows καταγράφει τα προγράμματα που εκτελείτε χρησιμοποιώντας μια λειτουργία στο μητρώο που ονομάζεται UserAssist keys. Αυτά τα κλειδιά καταγράφουν πόσες φορές εκτελέστηκε κάθε πρόγραμμα και πότε τελευταία εκτελέστηκε.

./vol.py -f file.dmp windows.registry.userassist.UserAssist

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος μπορεί να χρησιμοποιηθεί για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανακάλυψη ευπαθειών και την ανάκτηση δεδομένων.

Βήματα Βασικής Μεθοδολογίας

1. Συλλογή Αποτυπώματος Μνήμης: Αρχικά, πρέπει να συλλέξετε το αποτύπωμα της μνήμης του συστήματος που θέλετε να αναλύσετε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το dumpit, το winpmem ή το LiME.

2. Ανάλυση Αποτυπώματος Μνήμης: Στο επόμενο βήμα, πρέπει να αναλύσετε το αποτύπωμα της μνήμης που συλλέξατε. Αυτό μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility.

3. Ανάκτηση Πληροφοριών: Αφού αναλύσετε το αποτύπωμα της μνήμης, πρέπει να ανακτήσετε τις απαραίτητες πληροφορίες. Αυτό μπορεί να περιλαμβάνει την εξαγωγή διευθύνσεων μνήμης, την ανακάλυψη διεργασιών, την εξαγωγή αρχείων και άλλων στοιχείων.

4. Ανάλυση Δεδομένων: Τέλος, πρέπει να αναλύσετε τα δεδομένα που ανακτήσατε από το αποτύπωμα της μνήμης. Αυτό μπορεί να περιλαμβάνει την ανίχνευση κακόβουλου λογισμικού, την ανάκτηση κρυπτογραφημένων δεδομένων και άλλων ευαίσθητων πληροφοριών.

Εργαλεία Ανάλυσης Αποτυπώματος Μνήμης

Υπάρχουν πολλά εργαλεία που μπορούν να χρησιμοποιηθούν για την ανάλυση αποτυπωμάτων μνήμης. Ορισμένα από αυτά είναι:

• Volatility: Ένα εργαλείο ανάλυσης αποτυπωμάτων μνήμης που υποστηρίζει πολλά λειτουργικά συστήματα, όπως τα Windows, το Linux και το macOS.

• Rekall: Ένα άλλο εργαλείο ανάλυσης αποτυπωμάτων μνήμης που παρέχει πολλές λειτουργίες και υποστηρίζει πολλά λειτουργικά συστήματα.

• LiME: Ένα εργαλείο για τη συλλογή αποτυπωμάτων μνήμης σε συστήματα Linux.

• dumpit και winpmem: Εργαλεία για τη συλλογή αποτυπωμάτων μνήμης σε συστήματα Windows.

Αυτά τα εργαλεία μπορούν να χρησιμοποιηθούν για την ανάλυση αποτυπωμάτων μνήμης και την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος.

volatility --profile=Win7SP1x86_23418 -f file.dmp userassist

​

​​​​RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένας ζωντανός συναντήσεων τεχνολογίας και επαγγελματιών κυβερνοασφάλειας σε κάθε ειδικότητα.

RootedCONRootedCON

Υπηρεσίες

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

#Get services and binary path
volatility --profile=Win7SP1x86_23418 svcscan -f file.dmp
#Get name of the services and SID (slow)
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

volatility --profile=Win7SP1x86_23418 netscan -f file.dmp
volatility --profile=Win7SP1x86_23418 connections -f file.dmp#XP and 2003 only
volatility --profile=Win7SP1x86_23418 connscan -f file.dmp#TCP connections
volatility --profile=Win7SP1x86_23418 sockscan -f file.dmp#Open sockets
volatility --profile=Win7SP1x86_23418 sockets -f file.dmp#Scanner for tcp socket objects

volatility --profile=SomeLinux -f file.dmp linux_ifconfig
volatility --profile=SomeLinux -f file.dmp linux_netstat
volatility --profile=SomeLinux -f file.dmp linux_netfilter
volatility --profile=SomeLinux -f file.dmp linux_arp #ARP table
volatility --profile=SomeLinux -f file.dmp linux_list_raw #Processes using promiscuous raw sockets (comm between processes)
volatility --profile=SomeLinux -f file.dmp linux_route_cache

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

volatility --profile=Win7SP1x86_23418 -f file.dmp hivelist #List roots
volatility --profile=Win7SP1x86_23418 -f file.dmp printkey #List roots and get initial subkeys

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

volatility --profile=Win7SP1x86_23418 printkey -K "Software\Microsoft\Windows NT\CurrentVersion" -f file.dmp
# Get Run binaries registry value
volatility -f file.dmp --profile=Win7SP1x86 printkey -o 0x9670e9d0 -K 'Software\Microsoft\Windows\CurrentVersion\Run'

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

#See vol2

volatility --profile=SomeLinux -f file.dmp linux_mount
volatility --profile=SomeLinux -f file.dmp linux_recover_filesystem #Dump the entire filesystem (if possible)

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

volatility --profile=Win7SP1x86_23418 filescan -f file.dmp #Scan for files inside the dump
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -f file.dmp #Dump all files
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -Q 0x000000007dcaa620 -f file.dmp

volatility --profile=SomeLinux -f file.dmp linux_enumerate_files
volatility --profile=SomeLinux -f file.dmp linux_find_file -F /path/to/file
volatility --profile=SomeLinux -f file.dmp linux_find_file -i 0xINODENUMBER -O /path/to/dump/file

# I couldn't find any plugin to extract this information in volatility3

volatility --profile=Win7SP1x86_23418 mftparser -f file.dmp

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

#vol2 allos you to search and dump certificates from memory
#Interesting options for this modules are: --pid, --name, --ssl
volatility --profile=Win7SP1x86_23418 dumpcerts --dump-dir=. -f file.dmp

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

volatility --profile=Win7SP1x86_23418 -f file.dmp malfind [-D /tmp] #Find hidden and injected code [dump each suspicious section]
volatility --profile=Win7SP1x86_23418 -f file.dmp apihooks #Detect API hooks in process and kernel memory
volatility --profile=Win7SP1x86_23418 -f file.dmp driverirp #Driver IRP hook detection
volatility --profile=Win7SP1x86_23418 -f file.dmp ssdt #Check system call address from unexpected addresses

volatility --profile=SomeLinux -f file.dmp linux_check_afinfo
volatility --profile=SomeLinux -f file.dmp linux_check_creds
volatility --profile=SomeLinux -f file.dmp linux_check_fop
volatility --profile=SomeLinux -f file.dmp linux_check_idt
volatility --profile=SomeLinux -f file.dmp linux_check_syscall
volatility --profile=SomeLinux -f file.dmp linux_check_modules
volatility --profile=SomeLinux -f file.dmp linux_check_tty
volatility --profile=SomeLinux -f file.dmp linux_keyboard_notifiers #Keyloggers

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
volatility --profile=Win7SP1x86_23418 yarascan -y malware_rules.yar -f ch2.dmp | grep "Rule:" | grep -v "Str_Win32" | sort | uniq

./vol.py --plugin-dirs "/tmp/plugins/" [...]

volatilitye --plugins="/tmp/plugins/" [...]

Εκτέλεση αυτόματων ενεργειών

Κατεβάστε το από https://github.com/tomchop/volatility-autoruns

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Μεταβλητές Mutex

./vol.py -f file.dmp windows.mutantscan.MutantScan

volatility --profile=Win7SP1x86_23418 mutantscan -f file.dmp
volatility --profile=Win7SP1x86_23418 -f file.dmp handles -p <PID> -t mutant

Συμβολικοί σύνδεσμοι

./vol.py -f file.dmp windows.symlinkscan.SymlinkScan

volatility --profile=Win7SP1x86_23418 -f file.dmp symlinkscan

Bash

Είναι δυνατόν να διαβάσετε από τη μνήμη το ιστορικό του bash. Μπορείτε επίσης να αποθηκεύσετε το αρχείο .bash_history, αλλά αν έχει απενεργοποιηθεί θα χαρείτε που μπορείτε να χρησιμοποιήσετε αυτήν την ενότητα του volatility.

./vol.py -f file.dmp linux.bash.Bash

Βασική Μεθοδολογία Ανάλυσης Αποτυπώματος Μνήμης

Η ανάλυση αποτυπώματος μνήμης είναι μια τεχνική που χρησιμοποιείται για την εξαγωγή πληροφοριών από τη μνήμη ενός συστήματος. Αυτή η μέθοδος μπορεί να χρησιμοποιηθεί για την ανίχνευση και την ανάλυση κακόβουλου λογισμικού, την ανίχνευση ευπάθειών ασφαλείας και την ανάκτηση δεδομένων.

Η ανάλυση αποτυπώματος μνήμης μπορεί να γίνει με τη χρήση εργαλείων όπως το Volatility, το οποίο είναι ένα από τα πιο δημοφιλή εργαλεία για αυτόν τον σκοπό. Το Volatility παρέχει μια σειρά από εντολές που μπορούν να χρησιμοποιηθούν για την ανάλυση διάφορων τύπων αποτυπωμάτων μνήμης.

Παρακάτω παρέχεται ένας απλός οδηγός για τη βασική μεθοδολογία ανάλυσης αποτυπώματος μνήμης με τη χρήση του Volatility:

1. Ανάκτηση του αποτυπώματος μνήμης από το σύστημα που θέλουμε να αναλύσουμε.

2. Ανάλυση του αποτυπώματος μνήμης με τη χρήση του Volatility.

3. Αναζήτηση για ενδείξεις κακόβουλου λογισμικού, ευπαθειών ασφαλείας και άλλων ενδιαφέρουσων πληροφοριών.

4. Ανάκτηση δεδομένων από το αποτύπωμα μνήμης, όπως κωδικούς πρόσβασης, αρχεία και ιστορικό περιήγησης.

5. Ανάλυση των αποτελεσμάτων και σύνταξη αναφοράς.

Η ανάλυση αποτυπώματος μνήμης είναι μια ισχυρή τεχνική που μπορεί να παρέχει πολλές πληροφορίες για ένα σύστημα. Με τη χρήση του Volatility και την εφαρμογή της βασικής μεθοδολογίας ανάλυσης, μπορείτε να ανακαλύψετε πολλά ενδιαφέροντα στοιχεία και να προχωρήσετε σε περαιτέρω έρευνα και ανάλυση.

volatility --profile=Win7SP1x86_23418 -f file.dmp linux_bash

Χρονολόγιο

./vol.py -f file.dmp timeLiner.TimeLiner

volatility --profile=Win7SP1x86_23418 -f timeliner

Οδηγοί

./vol.py -f file.dmp windows.driverscan.DriverScan

volatility --profile=Win7SP1x86_23418 -f file.dmp driverscan

Λήψη προχείρου

#Just vol2
volatility --profile=Win7SP1x86_23418 clipboard -f file.dmp

Ανάκτηση ιστορικού του IE

To Volatility υποστηρίζει την ανάκτηση του ιστορικού του Internet Explorer (IE) από μια μνήμη κατά την ανάλυση ενός αποτυπώματος μνήμης. Αυτό μπορεί να παρέχει πολύτιμες πληροφορίες για τις ιστοσελίδες που έχουν επισκεφθεί οι χρήστες στο παρελθόν.

Για να ανακτήσετε το ιστορικό του IE, μπορείτε να χρησιμοποιήσετε την εντολή iehistory του Volatility. Ακολουθεί ένα παράδειγμα χρήσης:

volatility -f <memory_dump> --profile=<profile> iehistory

Αντικαταστήστε το <memory_dump> με το αρχείο αποτυπώματος μνήμης που θέλετε να αναλύσετε και το <profile> με το προφίλ του συστήματος που χρησιμοποιείτε.

Η εντολή iehistory θα εμφανίσει το ιστορικό του IE, συμπεριλαμβανομένων των URL, των τίτλων των ιστοσελίδων και των χρόνων επίσκεψης. Αυτές οι πληροφορίες μπορούν να βοηθήσουν στην ανάλυση και την εξαγωγή στοιχείων από το αποτύπωμα μνήμης.

#Just vol2
volatility --profile=Win7SP1x86_23418 iehistory -f file.dmp

Λήψη κειμένου από το Notepad

To get the text from a Notepad process memory dump, you can use the following Volatility command:

volatility -f <memory_dump> --profile=<profile> notepad

Replace <memory_dump> with the path to the memory dump file and <profile> with the appropriate Volatility profile for the operating system.

This command will extract the text from the Notepad process memory and display it in the terminal.

#Just vol2
volatility --profile=Win7SP1x86_23418 notepad -f file.dmp

Στιγμιότυπο οθόνης

#Just vol2
volatility --profile=Win7SP1x86_23418 screenshot -f file.dmp

Κύριο Αρχείο Εκκίνησης (MBR)

The Master Boot Record (MBR) is the first sector of a storage device (such as a hard disk) that contains the boot loader and partition table. It plays a crucial role in the boot process of a computer system. By analyzing the MBR, forensic analysts can gather important information about the system's boot process, including the installed operating systems and their respective partitions.

To analyze the MBR using Volatility, you can use the mbrparser plugin. This plugin allows you to extract and analyze the MBR data from a memory dump. By examining the MBR, you may be able to identify any modifications or malicious code that could have been injected into the boot process.

Here is an example command to run the mbrparser plugin in Volatility:

volatility -f memory_dump.mem mbrparser

This command will extract and display the MBR data from the memory dump file memory_dump.mem. The output will include information such as the disk signature, partition table entries, and the boot code.

Analyzing the MBR can provide valuable insights into the system's boot process and help identify any potential tampering or malicious activity. It is an essential step in forensic investigations to understand the overall state of the system and any potential security breaches.

volatility --profile=Win7SP1x86_23418 mbrparser -f file.dmp

Το Master Boot Record (MBR) παίζει ένα κρίσιμο ρόλο στη διαχείριση των λογικών διαμερισμάτων ενός αποθηκευτικού μέσου, τα οποία είναι δομημένα με διάφορα συστήματα αρχείων. Δεν κρατά μόνο πληροφορίες διάταξης διαμερισμάτων, αλλά περιέχει εκτελέσιμο κώδικα που λειτουργεί ως φορτωτής εκκίνησης. Αυτός ο φορτωτής εκκινεί είτε απευθείας τη διαδικασία φόρτωσης της δεύτερης φάσης του λειτουργικού συστήματος (δείτε φορτωτής εκκίνησης δεύτερης φάσης) είτε λειτουργεί συνεργαστικά με το volume boot record (VBR) κάθε διαμερίσματος. Για λεπτομερείς πληροφορίες, ανατρέξτε στη σελίδα του MBR στη Wikipedia.

Αναφορές

• https://andreafortuna.org/2017/06/25/volatility-my-own-cheatsheet-part-1-image-identification/

• https://scudette.blogspot.com/2012/11/finding-kernel-debugger-block.html

• https://or10nlabs.tech/cgi-sys/suspendedpage.cgi

• https://www.aldeid.com/wiki/Windows-userassist-keys ​* https://learn.microsoft.com/en-us/windows/win32/fileio/master-file-table

• https://answers.microsoft.com/en-us/windows/forum/all/uefi-based-pc-protective-mbr-what-is-it/0fc7b558-d8d4-4a7d-bae2-395455bb19aa

RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στη Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένας ζωντανός σημείο συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε ειδικότητα.