kali linux之取證

取證簡介：

 

CSI：物理取證

指紋、DNA、彈道、血跡

無力取證的理論基礎是物質交換原則

 

數字取證/計算機取證

智能設備、計算機、手機平板、loT、有線及無線信道、數據存儲

 

事件響應調查------黑客攻擊，滲透測試留痕

 

通用原則----（取證分析所有過程記錄文檔）

 維護證據完整性
       數字取證比物理取證幸運的多，能夠有無限數量的拷貝進行分析
       數字HASH值驗證數據完整性
 維護監管鏈
       物理證物保存在證物袋中，每次取出使用嚴格記錄，避免破壞污染
       數字證物原始版本寫保護，使用拷貝進行分析
 標準的操做步驟
       證物使用嚴格按照按照規範流程，即便過後證實流程有誤(免責)

數字取證
  不要破壞數據現場(看似簡單，實際幾乎沒法實現)
  寄存器、CPU緩存、I/O設備緩存等易失性數據幾乎沒法獲取
  系統內存是主要的非易失性存儲介質取證對象，不修改沒法獲取其中數據
  非易失性存儲介質一般使用完整鏡像拷貝保存
  正常關機仍是直接拔掉電源(數據丟失破壞)

 

證據搜索
    數據
    信息
    證據

取證科學
 做爲安全從業者
        經過取證還原黑客入侵的軌跡
 做爲滲透測試和黑客攻擊區分標準
        世紀佳緣事件
        印象筆記滲透測試事件

 

取證方法

 活取證
     抓取文件metadata、建立時間線、命令歷史、分析日誌文件、哈希摘要、轉存內存信息
     使用未受感染的乾淨程序執行取證，U盤/網絡存儲收集數據

 死取證
     關機後製做硬盤鏡像、分析鏡像(MBR、GPT、LVM)

 

內存dump工具（windows）

  Dumpit----內存文件與內存大小接近或者稍微大一點，raw格式

 

 

 

取證工具-----Volatility

 

 

經常使用參數

 -f  指定文件名

 

 

imageinfo：

用於查看咱們正在分析的內存樣本的摘要信息。具體來講顯示主機所使用的操做系統版本、服務包以及硬件結構(32位或64位)、頁目錄表的起始地址和該獲取該內存鏡像的時間等基本信息
其中以.raw後綴的文件名就是本機的內存鏡像。>imageinfo.txt是把imageinfo命令取得的信息定向的存在imageinfo.txt的文件中。

kpcrscan：

用於查找內存中用於定義內核處理器控制區域（KPCR）的_KPCR結構體信息，具體來講，能夠顯示每一個處理器的詳細信息，包括IDT（線程控制符）和GDT（全局段描述符表）地址，當前運行的線程和空閒線程，CPU數量、製造廠商及其速度，CR3寄存器或頁目錄表基地址的值等信息。該命令的使用方法要用到imageinfo取得的profile信息

dlllist：

可以顯示一個進程裝載的動態連接庫的信息，其顯示列表主要包括加載的動態連接庫文件的基地址、文件大小以及文件所在路徑。

filescan：

此命令將顯示系統上的打開的文件，包括已被惡意軟件隱藏的文件

 

handles：

顯示在一個進程中打開的處理

modscan：

掃描_ldr_data_table_entry對象的物理內存。顯示內核的驅動程序，包括已隱藏/連接的

netscan：

發現TCP / UDP端點和監聽器。這個命令將顯示一個主動網絡鏈接的列表

 

pslist：

能夠枚舉系統中的進程，這條命令經過遍歷PsActiveProcessHead指針指向的雙向鏈表枚舉當前內存中活躍的全部進程信息，主要包括偏移地址、進程ID號、父進程ID號、線程數量、句柄數量、進程會話ID號以及進程開始和退出的時間

 

pstree：

這個命令顯示跟pslist同樣的信息，以樹的形式

 

connscan：

查看網絡鏈接

 

實例：

查詢文件信息，關注 profile

volatility imageinfo -f win.dmp imageinfo

 

 

查詢數據庫文件

volatility hivelist -f win.dmp --profile=Win7SP1x86

 

 

volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist

volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree

 

 

 

按虛內存地址查看註冊表內容

volatility -f win.dmp --profile=Win7SP1x86 hivelist

 

volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648 

 

 

查看用戶帳號

volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

 

 

 

最後登陸的用戶

volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

 

 

正在運行的程序、運行過多少次、最後一次運行時間等

volatility -f win.dmp --profile=Win7SP1x86 userassist

 

 

 

 

進程列表及物理內存

volatility -f win.dmp --profile=Win7SP1x86 pslist

 

 

dump 進程內存

volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/

root@Hitman47:~/dumpdir# hexeditor 3684.dmp

root@Hitman47:~/dumpdir# strings 3684.dmp > 1111.txt

root@Hitman47:~/dumpdir# strings 3684.dmp | grep password

root@Hitman47:~/dumpdir# strings 3684.dmp | grep /

root@Hitman47:~/dumpdir# strings 3684.dmp | grep @

 

 

命令歷史

volatility cmdscan -f win.dmp --profile=Win7SP1x86

 

 

網絡鏈接

volatility netscan -f win.dmp --profile=Win7SP1x86

 

IE 歷史

volatility iehistory -f win.dmp --profile=Win7SP1x86

 

提取hash

volatility -f win.dmp --profile=Win7SP1x86 hivelist

 

 

firefoxhistory 插件

volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory

 

USN 日誌記錄插件--NTFS 特性，用於跟蹤硬盤內容變化（不記錄具體變動內容）

wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/

volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv

 

Timeline-------插件從多個位置收集大量系統活動信息

volatility -f win.dmp --profile=Win7SP1x86 timeliner

 

 

 

 

 

 

 

友情連接  http://www.cnblogs.com/klionsec

                http://www.cnblogs.com/l0cm

                http://www.cnblogs.com/Anonyaptxxx

                http://www.feiyusafe.cn