Day-251-内存取证技术

# Day 272: 内存取证技术

> 应急响应系列第 12 天 | 预计阅读时间：35 分钟 | 难度：★★★★★

---

## 清单 目录

1. [内存取证概述](#内存取证概述)
2. [内存镜像获取](#内存镜像获取)
3. [Volatility 框架](#volatility 框架)
4. [进程分析](#进程分析)
5. [网络连接分析](#网络连接分析)
6. [恶意代码检测](#恶意代码检测)
7. [凭证与密钥提取](#凭证与密钥提取)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 内存取证概述

### 为什么需要内存取证

内存（RAM）包含大量易失性证据，断电即消失：

| 证据类型 | 说明 | 价值 |
|----------|------|------|
| **运行进程** | 当前执行的程序 | 发现恶意进程 |
| **网络连接** | 活跃的网络连接 | 发现 C2 通信 |
| **加载模块** | DLL、内核驱动 | 发现恶意模块 |
| **注册表缓存** | 注册表信息缓存 | 系统配置 |
| **凭证数据** | 密码、密钥、令牌 | 认证信息 |
| **剪贴板内容** | 复制的敏感数据 | 数据窃取证据 |
| **命令行历史** | 执行的命令 | 攻击者操作记录 |
| **未加密数据** | 解密后的敏感数据 | 磁盘上已加密 |

### 内存取证应用场景

| 场景 | 取证目标 |
|------|----------|
| **恶意软件感染** | 发现内存中的恶意代码 |
| **无文件攻击** | 检测 Powershell、WMI 攻击 |
| **凭证窃取** | 发现 Mimikatz 等工具痕迹 |
| **Rootkit 检测** | 发现内核级隐藏 |
| **数据泄露** | 提取剪贴板、浏览器数据 |

### 内存取证挑战

| 挑战 | 说明 | 应对 |
|------|------|------|
| **易失性** | 断电数据消失 | 优先收集 |
| **获取风险** | 可能改变内存状态 | 使用可靠工具 |
| **加密** | 部分数据加密 | 提取原始数据 |
| **反取证** | 恶意软件检测取证工具 | 隐蔽获取 |
| **容量大** | 现代系统内存大 | 压缩存储 |

---

## 内存镜像获取

### Windows 内存获取

#### WinPmem

**特点**：
- 开源工具
- 支持 Windows 和 Linux
- 内核驱动方式

**使用方法**：
```powershell
# 下载 pmem
https://github.com/Velocidex/WinPmem/releases

# 获取内存镜像
.\pmem.exe -o memory.dump

# 获取镜像并计算哈希
.\pmem.exe -o memory.dump --hash
```

#### FTK Imager

**特点**：
- 商业工具（免费使用）
- 图形界面
- 支持多种格式

**使用方法**：
```
1. 启动 FTK Imager
2. File → Capture Memory
3. 选择保存路径
4. 开始捕获
```

#### DumpIt

**特点**：
- 免费工具
- 简单易用
- 生成 RAW 格式

**使用方法**：
```
1. 运行 DumpIt.exe
2. 选择输出路径
3. 自动开始捕获
```

### Linux 内存获取

#### LiME

**特点**：
- Linux Memory Extractor
- 内核模块方式
- 支持多种输出格式

**使用方法**：
```bash
# 下载编译 LiME
git clone https://github.com/504ensicsLabs/LiME
cd LiME/src
make

# 加载模块并获取内存
insmod lime-$(uname -r).ko "path=/tmp/memory.lime format=lime"

# 或使用范围指定
insmod lime.ko "path=tcp://192.168.1.100:9000 format=lime"
```

#### AVML

**特点**：
- Azure 虚拟机内存获取
- 支持物理和虚拟内存

**使用方法**：
```bash
# 获取物理内存
avml memory.dump

# 获取并压缩
avml --compress memory.dump.gz
```

### macOS 内存获取

#### OSXPmem

**使用方法**：
```bash
# 加载驱动
sudo pmem osx

# 获取内存
sudo dd if=/dev/pmem of=memory.dump
```

### 内存获取最佳实践

#### 获取前准备

```
检查清单：
□ 确认获取授权
□ 准备足够存储空间（内存大小 1.5 倍）
□ 准备写保护设备
□ 准备哈希计算工具
□ 准备记录表格
```

#### 获取注意事项

| 注意事项 | 说明 |
|----------|------|
| **最小干预** | 获取工具本身会占用内存 |
| **记录状态** | 记录获取前系统状态 |
| **计算哈希** | 获取前后都计算哈希 |
| **快速完成** | 减少系统运行时间 |
| **网络隔离** | 防止远程擦除 |

#### 获取顺序

```
1. 记录系统状态（拍照、录像）
2. 获取网络连接信息（netstat）
3. 获取进程列表（tasklist/ps）
4. 获取内存镜像
5. 关闭系统（如需要）
```

---

## Volatility 框架

### Volatility 简介

**Volatility** 是最流行的开源内存取证框架：

- 支持 Windows、Linux、macOS
- 300+ 插件
- 活跃的社区
- 版本 3 为最新版本

### 安装与配置

```bash
# 安装 Volatility 3
git clone https://github.com/volatilityfoundation/volatility3
cd volatility3
pip install -r requirements.txt

# 验证安装
python3 vol.py -h
```

### 配置文件识别

```bash
# 自动识别配置文件
python3 vol.py -f memory.dump windows.info

# 输出示例：
Volatility 3 Framework 2.0.0
  PID   PPID  ImageFileName   ...
  4     0     System          ...
  
Suggested Profile(s): Win10x64
```

### 常用插件分类

| 类别 | 插件 | 用途 |
|------|------|------|
| **系统信息** | windows.info | 系统基本信息 |
| **进程** | pslist, pstree | 进程列表和树 |
| **网络** | netscan | 网络连接 |
| **文件** | filescan | 文件对象 |
| **注册表** | hivelist, printkey | 注册表分析 |
| **恶意代码** | malfind, dlllist | 恶意代码检测 |
| **凭证** | hashdump, lsadump | 凭证提取 |

---

## 进程分析

### 进程列表

```bash
# 获取进程列表
python3 vol.py -f memory.dump windows.pslist

# 输出示例：
PID     PPID    ImageFileName   CreateTime
4       0       System          2024-04-12 08:00:00
628     512     svchost.exe     2024-04-12 08:01:00
1234    628     cmd.exe         2024-04-12 10:30:00
5678    1234    powershell.exe  2024-04-12 10:30:05
```

### 进程树分析

```bash
# 获取进程树
python3 vol.py -f memory.dump windows.pstree

# 输出示例：
System(4)
├── smss.exe(256)
├── csrss.exe(384)
└── svchost.exe(628)
    └── cmd.exe(1234)
        └── powershell.exe(5678)
            └── malware.exe(9012)
```

**可疑进程树**：
```
winword.exe → cmd.exe → powershell.exe → 未知 exe
（Word 宏攻击典型模式）
```

### 命令行分析

```bash
# 获取命令行参数
python3 vol.py -f memory.dump windows.cmdline

# 输出示例：
PID     CommandLine
1234    cmd.exe /c powershell -enc SQBFAFgAKABOAGUAdw...
5678    powershell.exe -nop -w hidden -enc xxx
9012    malware.exe -c2 http://evil.com/beacon
```

**可疑命令行特征**：
| 特征 | 说明 |
|------|------|
| `-enc` / `-encodedcommand` | PowerShell 编码执行 |
| `-nop` | 无配置文件 |
| `-w hidden` / `-windowstyle hidden` | 隐藏窗口 |
| `downloadstring` | 下载并执行 |
| `iex` / `invoke-expression` | 执行字符串 |

### 进程内存转储

```bash
# 转储进程内存
python3 vol.py -f memory.dump windows.procdump -p 9012 -D ./output

# 输出：
Dumping 9012 (malware.exe) to output/9012.dmp
```

**用途**：
- 恶意软件分析
- YARA 扫描
- 逆向工程

### 隐藏进程检测

```bash
# 检测隐藏进程（对比多个列表）
python3 vol.py -f memory.dump windows.pslist
python3 vol.py -f memory.dump windows.psscan
python3 vol.py -f memory.dump windows.psxview

# psxview 对比多种检测方法
# 如果某进程在某些方法中不出现，可能被隐藏
```

---

## 网络连接分析

### 网络连接扫描

```bash
# 获取网络连接
python3 vol.py -f memory.dump windows.netscan

# 输出示例：
Proto   Local Address     Foreign Address   State    PID   Owner
TCP     192.168.1.100:49152  185.123.45.67:443  ESTABLISHED  9012  malware.exe
TCP     0.0.0.0:445        0.0.0.0:0         LISTENING  4     System
UDP     0.0.0.0:53         *:*               -        888   svchost.exe
```

**可疑连接特征**：
| 特征 | 说明 |
|------|------|
| 连接已知恶意 IP | C2 服务器 |
| 非常规端口 | 443 以外端口的加密流量 |
| 异常外连 | 内部主机连接外部 IP |
| 监听端口 | 未知程序监听端口 |

### 连接时间线

```bash
# 结合时间信息分析
python3 vol.py -f memory.dump windows.netscan --renderers json

# 分析连接建立时间
# 与进程创建时间关联
```

### DNS 缓存分析

```bash
# 获取 DNS 缓存
python3 vol.py -f memory.dump windows.dns_cache

# 输出示例：
Domain              TTL      IP Address
evil.com            300      185.123.45.67
cdn-update.xyz      60       1.2.3.4
```

**价值**：
- 发现访问过的域名
- 即使连接已关闭
- 识别 C2 域名

---

## 恶意代码检测

### Malfind 插件

```bash
# 检测注入代码
python3 vol.py -f memory.dump windows.malfind

# 输出示例：
PID     Process   Vad Address  Protection  VadType
9012    malware   0x7ff0000    PAGE_EXECUTE_READWRITE  Private
        Start:    0x7ff0000
        End:      0x7ff1000
        Hex:      4D5A90000300000004000000FFFF...
```

**检测原理**：
- 查找 PAGE_EXECUTE_READWRITE 内存区域
- 检测 MZ/PE 头
- 发现 shellcode

### DLL 分析

```bash
# 列出加载的 DLL
python3 vol.py -f memory.dump windows.dlllist

# 输出示例：
PID     Base            Name
9012    0x7ff80000000   ntdll.dll
9012    0x7ff80100000   kernel32.dll
9012    0x7ff80200000   evil.dll  ← 可疑
```

**可疑 DLL 特征**：
- 随机名称
- 临时目录加载
- 无签名
- 内存加载（无文件）

### 内核模块检测

```bash
# 列出内核驱动
python3 vol.py -f memory.dump windows.driverscan

# 检测隐藏驱动
python3 vol.py -f memory.dump windows.driverirp
```

**Rootkit 检测**：
- 对比驱动列表
- 检查 SSDT 钩子
- 检查 IDT 钩子

### YARA 扫描

```bash
# 使用 YARA 规则扫描内存
python3 vol.py -f memory.dump windows.yarascan --yara-rules rules.yar

# rules.yar 示例：
rule Cobalt_Strike {
    strings:
        $s1 = "beacon" ascii
        $s2 = "cobaltstrike" ascii
    condition:
        any of them
}
```

---

## 凭证与密钥提取

### Windows 凭证

#### Hashdump

```bash
# 提取本地密码哈希
python3 vol.py -f memory.dump windows.hashdump

# 输出示例：
Administrator:500:aad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
user:1000:aad3b435b51404ee:password_hash:::
```

#### Lsadump

```bash
# 提取 LSA 秘密
python3 vol.py -f memory.dump windows.lsadump

# 输出示例：
$MACHINE.ACC: hash
NL$KM: hash
```

#### Credman

```bash
# 提取凭据管理器数据
python3 vol.py -f memory.dump windows.credman

# 可能包含：
# - 保存的密码
# - 网络凭据
# - 应用凭据
```

### 浏览器数据

```bash
# 提取浏览器数据
python3 vol.py -f memory.dump windows.chrome_cookies
python3 vol.py -f memory.dump windows.chrome_history
```

**价值**：
- 访问过的网站
- 会话 Cookie
- 可能的凭证

### 剪贴板内容

```bash
# 提取剪贴板内容
python3 vol.py -f memory.dump windows.clipboard

# 输出示例：
Session 1:
  Format: CF_TEXT
  Data: 敏感信息...
```

**价值**：
- 用户复制的敏感数据
- 密码、账号
- 文件内容

### SSH 密钥

```bash
# Linux 内存中提取
python3 vol.py -f memory.lime linux.ssh_keys

# 可能找到：
# - 私钥
# - 已知主机
# - 授权密钥
```

---

## 实战技巧

### 时间线重建

```bash
# 获取进程创建时间
python3 vol.py -f memory.dump windows.pslist --renderers json

# 获取网络连接时间
python3 vol.py -f memory.dump windows.netscan --renderers json

# 获取文件操作时间
python3 vol.py -f memory.dump windows.filescan --renderers json

# 合并分析，重建攻击时间线
```

### 攻击链分析

```
典型攻击链内存痕迹：

1. 初始访问
   - 浏览器进程异常
   - Office 进程创建子进程

2. 执行
   - PowerShell 进程
   - 编码命令行

3. 持久化
   - 注册表修改
   - 计划任务创建

4. C2 通信
   - 异常网络连接
   - DNS 查询记录

5. 凭证窃取
   - LSASS 访问
   - Mimikatz 痕迹
```

### 反取证对抗

| 反取证技术 | 检测方法 |
|------------|----------|
| 进程注入 | malfind、hollowing 检测 |
| DLL 劫持 | dlllist 对比基线 |
| Rootkit | 多方法对比（psxview） |
| 内存加密 | 熵值分析、异常区域 |
| 工具检测 | 隐蔽获取、远程获取 |

---

## 总结与思考

### 核心要点回顾

1. **内存取证价值高** - 包含大量易失性证据

2. **获取要快速** - 断电数据消失

3. **Volatility 是核心工具** - 300+ 插件覆盖全面

4. **进程和网络是关键** - 发现恶意活动

5. **凭证提取有价值** - 支持深入调查

### 实战建议

1. **优先获取内存** - 在关机前获取

2. **准备多个工具** - 防止工具不兼容

3. **建立基线** - 了解正常内存状态

4. **持续学习** - 新攻击手法不断出现

5. **结合其他证据** - 内存 + 磁盘 + 网络

---

## 参考资料

### 工具资源

- **Volatility Foundation** - https://www.volatilityfoundation.org/
- **Velociraptor** - https://www.velociraptor.app/
- **SIFT Workstation** - https://www.sans.org/tools/sift-workstation/

### 学习资源

- **The Art of Memory Forensics** - 经典书籍
- **Volatility Cookbook** - 实用指南
- **SANS Forensics Courses** - 专业培训

---

*365 天信息安全技术系列 | Day 272 | 内存取证技术*