利用内存取证技术猎杀恶意软件
1. 内存获取
在处理大内存服务器时,可使用 DumpIt 中的/R或/COMPRESS选项,生成.zdmp(Comae 压缩崩溃转储)文件,既能减小文件大小,又能加快获取速度。之后可通过 Comae Stardust 企业平台(https://my.comae.io)分析该转储文件。更多详情可参考:https://blog.comae.io/rethinking-logging-for-critical-assets-685c65423dc0。
对于虚拟机(VM),多数情况下可通过暂停 VM 来获取其内存。例如,在 VMware Workstation/VMware Fusion 上执行恶意软件样本后,暂停 VM,会将访客系统的内存(RAM)写入主机磁盘上扩展名为.vmem的文件。对于像 VirtualBox 这类无法通过暂停获取内存的应用程序,可在访客机内使用 DumpIt。
2. Volatility 概述
获取受感染系统的内存后,下一步是分析获取的内存镜像。Volatility(http://www.volatilityfoundation.org/releases)是一个用 Python 编写的开源高级内存取证框架,可用于分析和提取内存镜像中的数字工件。它能在多种平台(Windows、macOS 和 Linux)上运行,支持分析 32 位和 64 位版本的 Windows、macOS 和 Linux 操作系统的内存。