打靶记录(七七)之THMForensics

Volatility forensics

这个转储文件的操作系统是什么？

python2 vol.py -f ~/桌面/victim.raw imageinfo
Volatility Foundation Volatility Framework 2.6.1
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/mikannse/桌面/victim.raw)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf800028420a0L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff80002843d00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2019-05-02 18:11:45 UTC+0000
     Image local date and time : 2019-05-02 11:11:45 -0700

windows

SearchIndexer的PID是什么？

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 pstree |grep SearchIndexer

2180

用户最后访问的目录是什么？

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 shellbags

shellbags插件用于分析Windows系统中的Shellbags信息。Shellbags是Windows操作系统中的一种机制，用于追踪和维护Windows资源管理器中文件夹的访问历史。每当用户打开或访问文件夹时，Shellbags会记录相关信息，例如文件夹的路径、文件夹的显示设置等

根据access data 看最迟的时间:deleted_files

Task2

有许多可疑的开放端口;它是哪一个？

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 netscan

UDP:5005

Vads标记和执行保护是恶意进程的强指标;您能找到它们是什么吗？

在Windows内核内存管理中，VAD（Virtual Address Descriptor）表示虚拟地址空间中的一段区域，它描述了进程的虚拟地址空间的布局和属性。VADs 包含了诸如内存分配、保护属性等信息。

Vads Tag： 在Windows内核中，VADs可以被标记为不同的类型，以表示其在虚拟地址空间中的不同用途。这个标记被称为 “Vads Tag”。Vads Tag 可能表示 VAD 的类型，例如表示保留区域、用户模式栈、内核模式栈、执行代码等。Vads Tag 的使用有助于内核对虚拟地址空间进行分类和管理。

Execute Protection（执行保护）： 表示VAD中的内存区域是否被标记为可执行（executable）。执行保护是一种内存保护机制，它控制是否允许在该区域执行代码。如果一个VAD的 Execute Protection 被设置为允许执行，那么该区域可能包含可执行代码，例如程序的指令或者动态链接库（DLL）中的代码。如果执行保护被设置为禁止执行，那么该区域可能用于存储数据，而不允许在其中执行代码。

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 malfind

malfind插件用于查找和分析内存中的恶意代码或者不正常的内存模式

1860;1820;2464

IOC SAGA

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 memdump -p 1860,1820,2464 -D ~/桌面

将进程的内存转储

‘www.go.ru‘

strings 1820.dmp 1860.dmp 2464.dmp|grep "www\.go....\.ru"

www.goporn.ru

‘www.i****.com‘

strings 1820.dmp 1860.dmp 2464.dmp|grep 'www\.i....\.com'

www.ikaka.com

‘www.ic\*\*\*\*\*\*.com‘

strings 1820.dmp 1860.dmp 2464.dmp|grep 'www\.ic......\.com'

www.icsalabs.com

202.***.233.*** (Write full IP)

strings 1820.dmp 1860.dmp 2464.dmp|grep '202\....\.233\....'

202.107.233.211

***.200.**.164(Write full IP)

strings 1820.dmp 1860.dmp 2464.dmp|grep '...\.200\....164'

209.200.12.164

209.190.***.***

strings 1820.dmp 1860.dmp 2464.dmp|grep '209\.190\....\....'

209.190.122.186

PID 2464的唯一环境变量是什么？

python2 vol.py -f ~/桌面/victim.raw --profile=Win7SP1x64 -p 2464 envars

OANOCACHE

碎碎念

volatility牛B。不过关于windows进程的知识还需要补