计算机取证:使用Kali和Volatility进行内存分析
在计算机安全测试领域,取证是一项关键技术,它有助于我们从系统中恢复可能对安全测试有用的信息。本文将从计算机安全测试员的角度出发,介绍如何使用Kali Linux中的工具进行不同类型的取证工作,重点聚焦于使用Volatility工具分析系统内存。
取证工具概述
在取证过程中,我们将使用Kali Linux中一些流行的取证工具。需要注意的是,本文不会涉及获取和处理证据的法律问题、证据保管链或相关文档记录。如果计划将Kali及其工具用于法律取证案件,需自行检查联邦、州和地方法律关于证据收集的规定,并确保工具符合获取和保存法律证据的要求和能力。
除了Kali自带的工具外,还有一些有趣的PowerShell取证选项,例如Invok - ir.com的PowerForensics,其链接为:https://github.com/Invoke - IR/PowerForensics 。
使用Volatility分析内存
Volatility是Kali Linux中一款标志性的内存分析工具。我们将学习如何从内存转储中提取相关信息,包括注册表信息、活动进程列表、网络连接和密码哈希等,还会简单分析一个感染了恶意软件的系统。
获取内存转储
可以使用多种程序来获取内存转储,内存分析的来源也有多种,包括:
1. 直接从活动内存获取
2. 虚拟内存文件
3. 休眠文件
4. 崩溃转储
5. 远程系统
在本教程中,我们将使用MoonSols的“DumpIt”程序从Windows 7测试虚拟机的活
)
