我有一台受感染的MS-Windows 7計算機,其中裝有內存惡意軟件,將其關閉可能會使其消失,並且我希望以更方便的格式獲取該惡意軟件以執行某些操作
有哪些不同的內存中惡意軟件?對於每種類型的內存中惡意軟件,您建議使用哪種方法?
您應該分兩步進行:
第一步:您需要查看 MoonSols Windows Memory Toolkit社區版。它將允許您將內存轉儲到文件中以進行進一步分析
第二:,然後您需要 Volatility Toolkit分析轉儲文件並提取信息,二進製文件,DLL等。
一個很好的示例:使用波動率-看看Andre DiMino關於 Cridex
的博客文章我同意Denis的回答,但對我來說,第0步是從HBGary啟動 FlyPaper。
HBGary Flypaper是您戰鬥中的寶貴工具針對惡意軟件。大多數惡意軟件設計為兩階段或三階段部署。首先,dropper程序將啟動第二個程序,然後將其刪除。第二個程序可能需要執行其他步驟,例如將DLL注入其他進程,加載rootkit等。這些步驟很快完成,分析人員可能難以捕獲部署中使用的所有二進製文件。 HBGary Flypaper為分析師解決了這個問題。
HBGary Flypaper作為設備驅動程序加載,並阻止所有退出進程,結束線程或刪除內存的嘗試。惡意軟件使用的所有組件都將保留在進程列表中,並保留在物理內存中。報告了整個執行鏈,因此您可以按照每個步驟進行操作。然後,一旦轉儲了物理內存進行分析,內存中的所有組件都將被“凍結”,而不會卸載任何組件。所有證據都在您身邊。
正如其他人提到的那樣,您應該做的第一件事是使用MoonSols轉儲內存。這將允許您稍後使用Volatility進行內存分析。對於惡意軟件分析,我發現IDA最有用。為了使它有用,您將需要一個進程轉儲和一種重建導入表的方法。如果惡意軟件可以傳播到其他進程,我將創建一個虛擬進程,將其轉儲然後重建導入表。例如,如果惡意軟件注入iexplore.exe,請打開Ollydbg,將調試選項事件更改為System Breakpoint,打開iexplore.exe,然後搜索RWX的內存(在此處中進行了介紹)。檢查內存中的內容,如果其中包含您的內存,則惡意軟件轉儲該過程,然後重建導入表。如果需要手動重建導入表,可以使用以下腳本。如果該進程沒有傳播,則可以通過調試器附加到該進程。
免責聲明:我是那些鏈接的作者。
Moonsols是一個不錯的選擇,但我注意到不再有購買它的選擇,這讓我想知道是否已經停止了支持。
在我認為,最好的入門方法是使用win32dd,win64dd或 mdd。另一個自動化程度更高的選項是DumpIt(由Moonsols的製造商創建)。對於大多數任務,我更喜歡使用mdd,但我尚未在64位系統上對其進行測試。
根據您要查找的內容,我傾向於使用像Scalpel這樣的文件雕刻器來挑選所有可識別的內容。波動性也很好,但是我個人認為學習如何在十六進制編輯器中識別文件結構並將其裁剪出來將使您更好地了解轉儲的內存以及實際查看的內容。
編輯:
Backtrack r3中提供了最新版本的手術刀,我只是從那裡將其取出來。與其他人一樣,我有較舊的副本,可以正常使用。 DumpIt仍可在MoonSols網站上使用,並且非常適合32或64位,請試一下:moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream