上文我們對第一臺(tái)Target機(jī)器進(jìn)行內(nèi)存取證，今天我們繼續(xù)往下學(xué)習(xí)，內(nèi)存鏡像請從上篇獲取，這里不再進(jìn)行贅述?

Gideon

攻擊者訪問了“Gideon”，他們向AllSafeCyberSec域控制器竊取文件,他們使用的密碼是什么？

攻擊者執(zhí)行了net use z: \10.1.1.2\c$ 指令將 10.1.1.2域控制器的C盤映射到本地的Z盤，并且使用了rar壓縮工具將文件存儲(chǔ)在 crownjewlez.rar里，所以密碼就在這里了

攻擊者創(chuàng)建的RAR文件的名稱是什么？

攻擊者向RAR壓縮包添加了多少文件？

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

將進(jìn)程導(dǎo)出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

直接搜索關(guān)鍵字，按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

這里亂七八糟的，數(shù)來數(shù)去也就是3個(gè)，這里grep txt的原因是因?yàn)槲覀冊谏厦娴?txt就已經(jīng)知道別人只是把txt文件壓縮了，所以我們只要看txt文件就行
后來發(fā)現(xiàn)不用導(dǎo)出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

攻擊者似乎在Gideon的機(jī)器上創(chuàng)建了一個(gè)計(jì)劃任務(wù)。與計(jì)劃任務(wù)關(guān)聯(lián)的文件的名稱是什么？

 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

導(dǎo)出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

POS

惡意軟件的CNC服務(wù)器是什么？

老規(guī)矩，先看第三個(gè)鏡像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

網(wǎng)絡(luò)掃描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

暫時(shí)看到iexplore.exe ，該進(jìn)程貫穿核心，而后我們繼續(xù)往下看，嘗試過濾一下惡意代碼掃描結(jié)果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

暫時(shí)對應(yīng)了，所以此題答案就是54.84.237.92

用于感染POS系統(tǒng)的惡意軟件的家族是什么？

筆者嘗試了很多方法都沒有找到正確的木馬家族，然后就看了一下國外大佬的，才知道原來malfind也可以導(dǎo)出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

Allsafecybersec的具體應(yīng)用程序是什么？

strings process.0x83f324d8.0x50000.dmp| grep exe 

惡意軟件最初啟動(dòng)的文件名是什么？

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory 

或者將3208進(jìn)程導(dǎo)出來

 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp 

strings 3208.dmp| grep exe | grep all 

到此就告一段落了，下期將會(huì)出一個(gè)簡單的流量溯源，關(guān)于tomcat 的網(wǎng)絡(luò)取證場景，敬請期待吧文章來源地址http://www.zghlxwxcb.cn/news/detail-744143.html

到了這里，關(guān)于windows內(nèi)存取證-中等難度-下篇的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！