什么是內(nèi)存取證？

內(nèi)存取證是指在計(jì)算機(jī)或其他數(shù)字設(shè)備運(yùn)行時(shí)，通過對(duì)其隨時(shí)存儲(chǔ)的內(nèi)存數(shù)據(jù)進(jìn)行采集、分析和提取，以獲取有關(guān)設(shè)備狀態(tài)、操作過程和可能存在的安全事件的信息。內(nèi)存取證是數(shù)字取證的一個(gè)重要分支，用于從計(jì)算機(jī)的RAM（隨機(jī)存取存儲(chǔ)器）或其他設(shè)備的內(nèi)存中提取關(guān)鍵信息，以便了解設(shè)備在特定時(shí)間點(diǎn)的狀態(tài)和活動(dòng)。

內(nèi)存取證的主要目的？

內(nèi)存取證的主要目的是獲取在計(jì)算機(jī)或設(shè)備內(nèi)存中暫時(shí)存儲(chǔ)的數(shù)據(jù)，這些數(shù)據(jù)在設(shè)備重啟或關(guān)機(jī)后通常會(huì)丟失。通過內(nèi)存取證，可以獲取運(yùn)行中的進(jìn)程、正在打開的文件、網(wǎng)絡(luò)連接、注冊表項(xiàng)、加密密鑰和密碼等敏感信息，這些信息對(duì)于數(shù)字取證、安全威脅分析和惡意活動(dòng)檢測都非常重要。

內(nèi)存取證通常在計(jì)算機(jī)遭受安全事件、系統(tǒng)崩潰、惡意軟件感染、取證調(diào)查等情況下使用。取證人員使用專業(yè)的取證工具和技術(shù)，對(duì)目標(biāo)計(jì)算機(jī)或設(shè)備的內(nèi)存進(jìn)行快照或鏡像，并在另一個(gè)設(shè)備上進(jìn)行分析。由于內(nèi)存數(shù)據(jù)的易失性，取證人員必須在盡可能短的時(shí)間內(nèi)采集和分析數(shù)據(jù)，以確保數(shù)據(jù)的完整性和準(zhǔn)確性。

內(nèi)存取證的步驟

1. 采集內(nèi)存鏡像：首先，需要采集目標(biāo)計(jì)算機(jī)或設(shè)備的內(nèi)存鏡像。內(nèi)存鏡像是對(duì)內(nèi)存中所有數(shù)據(jù)的完整快照，通常通過專用的取證工具來完成。常用的內(nèi)存采集工具包括Volatility、FTK Imager、DumpIt等。
2. 確保取證完整性：在采集內(nèi)存鏡像之前，確保目標(biāo)計(jì)算機(jī)或設(shè)備處于關(guān)閉或凍結(jié)狀態(tài)，以避免數(shù)據(jù)被覆蓋或修改。內(nèi)存鏡像的采集過程應(yīng)該盡量快速，以減少數(shù)據(jù)的丟失。
3. 分析內(nèi)存鏡像：將采集的內(nèi)存鏡像導(dǎo)入到內(nèi)存取證工具中進(jìn)行分析。在分析過程中，可以查看進(jìn)程列表、網(wǎng)絡(luò)連接、打開的文件、注冊表項(xiàng)、內(nèi)存映像和其他運(yùn)行時(shí)數(shù)據(jù)。
4. 查找惡意代碼和漏洞：在內(nèi)存鏡像中查找潛在的惡意代碼、惡意進(jìn)程或漏洞，以便確認(rèn)是否存在安全威脅。
5. 尋找證據(jù)：根據(jù)需求，在內(nèi)存鏡像中查找可能的證據(jù)，例如密碼、加密密鑰、聊天記錄、瀏覽器歷史記錄等。這些證據(jù)可能對(duì)調(diào)查和取證提供重要支持。
6. 進(jìn)行關(guān)聯(lián)分析：將內(nèi)存鏡像中的數(shù)據(jù)與其他取證數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，例如硬盤鏡像、網(wǎng)絡(luò)日志等，以獲取更全面的信息。
7. 提取數(shù)據(jù)：根據(jù)需要，從內(nèi)存鏡像中提取重要的數(shù)據(jù)和證據(jù)。提取的數(shù)據(jù)應(yīng)該保存為可讀格式，并做好記錄和標(biāo)記。
8. 生成取證報(bào)告：根據(jù)分析結(jié)果，撰寫詳細(xì)的內(nèi)存取證報(bào)告，包括取證過程、發(fā)現(xiàn)的證據(jù)、結(jié)論和建議等。報(bào)告應(yīng)該清晰明了，以便其他人理解和參考。
9. 保護(hù)數(shù)據(jù)完整性：在進(jìn)行內(nèi)存取證的過程中，務(wù)必確保數(shù)據(jù)的完整性和準(zhǔn)確性。采用適當(dāng)?shù)陌踩胧苊鈱?duì)內(nèi)存數(shù)據(jù)造成修改或破壞。

內(nèi)存取證和數(shù)字取證之間的關(guān)系

內(nèi)存取證是數(shù)字取證的一個(gè)重要分支，它們之間有著密切的關(guān)系。下面簡要介紹內(nèi)存取證和數(shù)字取證之間的關(guān)系。

1. 數(shù)據(jù)來源：

- 數(shù)字取證通常涉及對(duì)計(jì)算機(jī)硬盤、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)數(shù)據(jù)等靜態(tài)數(shù)據(jù)的分析。這些數(shù)據(jù)通常在計(jì)算機(jī)或設(shè)備關(guān)閉后保留，并且可以在之后進(jìn)行取證分析。

-內(nèi)存取證則專注于獲取計(jì)算機(jī)或設(shè)備在運(yùn)行時(shí)的實(shí)時(shí)數(shù)據(jù)。內(nèi)存中的數(shù)據(jù)在設(shè)備重啟或關(guān)機(jī)后通常會(huì)丟失，因此內(nèi)存取證需要在設(shè)備運(yùn)行期間進(jìn)行。

2. 相互補(bǔ)充：

-內(nèi)存取證和數(shù)字取證相互補(bǔ)充，提供了更全面的取證和分析能力。通過數(shù)字取證可以獲取硬盤、存儲(chǔ)設(shè)備等靜態(tài)數(shù)據(jù)，而內(nèi)存取證提供了計(jì)算機(jī)運(yùn)行時(shí)的實(shí)時(shí)數(shù)據(jù)，兩者結(jié)合可以提供更全面、深入的取證信息。

3. 應(yīng)用場景：

-數(shù)字取證廣泛應(yīng)用于網(wǎng)絡(luò)安全、計(jì)算機(jī)取證、企業(yè)內(nèi)部調(diào)查和法律證據(jù)收集等領(lǐng)域。

-內(nèi)存取證通常在計(jì)算機(jī)遭受安全事件、系統(tǒng)崩潰、惡意軟件感染、取證調(diào)查等情況下使用。

內(nèi)存取證的實(shí)例

1. 獲取內(nèi)存鏡像：首先需要獲取目標(biāo)計(jì)算機(jī)的內(nèi)存鏡像，可以通過物理獲取（例如使用內(nèi)存采集工具將內(nèi)存保存到文件中）或虛擬獲取（例如從虛擬機(jī)中導(dǎo)出內(nèi)存快照）來獲得內(nèi)存鏡像。
2. 分析內(nèi)存鏡像：

導(dǎo)入內(nèi)存鏡像：使用Volatility工具，將采集到的內(nèi)存鏡像導(dǎo)入到分析環(huán)境中，準(zhǔn)備進(jìn)行取證分析。

選擇插件：根據(jù)需要選擇合適的插件來進(jìn)行分析，例如"pslist"插件用于列出進(jìn)程信息，"connections"插件用于查看網(wǎng)絡(luò)連接信息等。

3. 進(jìn)程和線程分析：

使用"pslist"插件查看內(nèi)存中運(yùn)行的所有進(jìn)程，并列出每個(gè)進(jìn)程的ID、父進(jìn)程ID、執(zhí)行路徑等信息。

使用"pstree"插件可以以樹狀圖形式查看進(jìn)程之間的層次結(jié)構(gòu)關(guān)系。

使用"psxview"插件可以查看隱藏進(jìn)程和模塊信息。

4. 文件系統(tǒng)和注冊表分析：

使用"filescan"插件掃描內(nèi)存中的文件對(duì)象，然后使用"dumpfiles"插件將文件導(dǎo)出到本地磁盤進(jìn)行分析。

使用"hivelist"插件查找內(nèi)存中加載的注冊表文件，并使用"hivedump"插件將注冊表導(dǎo)出到本地進(jìn)行分析。

5. 使用工具對(duì)可疑文件進(jìn)行檢查和掃描（如Virustotal），這里不僅可以使用可疑的可執(zhí)行文件，也可以使用文件的SHA1進(jìn)行查詢。

6. 可以使用逆向分析工具（如IDA）對(duì)包進(jìn)行逆向分析。

從IDA中將匯編轉(zhuǎn)換為偽代碼，我們可以發(fā)現(xiàn)它具有DLLEntryPoint。這似乎是DLL進(jìn)入系統(tǒng)的時(shí)間。然后它調(diào)用CreateProcessNotify。注意RegCreateKeyA。“Software//Microsoft//Windows//CurrentVersion/run”是正常的寄存器，它可以控制計(jì)算機(jī)自動(dòng)運(yùn)行和加載攻擊者想要計(jì)算機(jī)使用的程序。
在對(duì)寄存器執(zhí)行某些操作之后，該進(jìn)程開始掃描文件夾路徑并遍歷文檔。

最重要的一點(diǎn)是，這個(gè)過程試圖清理緩存:"ericpotic.com"和"mashevserv.com"。這兩個(gè)網(wǎng)站似乎與僵尸網(wǎng)絡(luò)有關(guān)。攻擊者控制僵尸網(wǎng)絡(luò)，利用僵尸網(wǎng)絡(luò)對(duì)客戶端進(jìn)行入侵。

如果您對(duì)內(nèi)存取證感興趣的話，可以咨詢虹科SecurityScorecard產(chǎn)品的內(nèi)存取證服務(wù)；如果您對(duì)終端安全保護(hù)產(chǎn)品感興趣的話，可以了解虹科Morphisec產(chǎn)品以及我們的終端安全保護(hù)解決方案。

虹科推薦

網(wǎng)絡(luò)安全評(píng)級(jí)

虹科網(wǎng)絡(luò)安全評(píng)級(jí)是一個(gè)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)，使企業(yè)能夠以非侵入和由外而內(nèi)的方式，對(duì)全球任何公司的安全風(fēng)險(xiǎn)進(jìn)行即時(shí)評(píng)級(jí)、響應(yīng)和持續(xù)監(jiān)測。

隨著數(shù)字化轉(zhuǎn)型的加速，云服務(wù)，IoT，越來越緊密的第三方供應(yīng)商等，企業(yè)如果只關(guān)注自己組織內(nèi)部的安全遠(yuǎn)遠(yuǎn)不夠，越來越多的數(shù)據(jù)泄露/安全事件是由第三方供應(yīng)鏈引起的。虹科網(wǎng)絡(luò)安全評(píng)級(jí)方案最全面的量化（A-F評(píng)分）企業(yè)自身及第三方供應(yīng)鏈的網(wǎng)絡(luò)安全情況，獲得C、D或F評(píng)級(jí)的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評(píng)級(jí)的公司高5倍。讓企業(yè)能夠?qū)崟r(shí)把握自身及第三方供應(yīng)商的網(wǎng)絡(luò)安全健康情況，及時(shí)避免潛在網(wǎng)絡(luò)安全/數(shù)據(jù)泄露帶來對(duì)企業(yè)業(yè)務(wù)和信譽(yù)影響的風(fēng)險(xiǎn)。

該平臺(tái)使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對(duì)全球成千上萬的組織的安全態(tài)勢進(jìn)行定量評(píng)估和持續(xù)監(jiān)測。網(wǎng)絡(luò)安全評(píng)級(jí)提供十個(gè)不同風(fēng)險(xiǎn)因素評(píng)分的詳細(xì)報(bào)告：應(yīng)用安全、端點(diǎn)安全、CUBIT評(píng)分、DNS健康、黑客通訊、IP信譽(yù)、信息泄露、網(wǎng)絡(luò)安全、修補(bǔ)頻率、社會(huì)工程。

虹科網(wǎng)絡(luò)安全評(píng)級(jí)為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險(xiǎn)評(píng)級(jí)。

虹科入侵防御方案

虹科終端安全解決方案，針對(duì)最高級(jí)的威脅提供了以預(yù)防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動(dòng)移動(dòng)目標(biāo)防御(AMTD)技術(shù)為支持。AMTD是一項(xiàng)提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù)，能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無文件攻擊和其他高級(jí)攻擊。Gartner研究表明，AMTD是網(wǎng)絡(luò)的未來，其提供了超輕量級(jí)深度防御安全層，以增強(qiáng)NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下，針對(duì)無法檢測的網(wǎng)絡(luò)攻擊縮小他們的運(yùn)行時(shí)內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護(hù)900萬臺(tái)Windows和Linux服務(wù)器、工作負(fù)載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級(jí)攻擊。

虹科摩菲斯的自動(dòng)移動(dòng)目標(biāo)防御ATMD做到了什么？

1、主動(dòng)進(jìn)行預(yù)防(簽名、規(guī)則、IOCs/IOA)；

2、主動(dòng)自動(dòng)防御運(yùn)行時(shí)內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；

3、在執(zhí)行時(shí)立即阻止惡意軟件；

4、為舊版本操作系統(tǒng)提供全面保護(hù)；

5、可以忽略不計(jì)的性能影響(CPU/RAM)；

6、無誤報(bào)，通過確定警報(bào)優(yōu)先級(jí)來減少分析人員/SOC的工作量。