volatility 3 内存取证入门——如何从内存中寻找敏感数据
上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下:
我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下:
python .\vol.py -f "D:\Virtual Machines\Windows 10 x64 1809\Windows 10 x64-b5976eea.vmem" windows.vadinfo --dump --pid 2052
然后就看到了很多dmp文件,
-a---- 2023-05-03 18:01 33554432 pid.2052.vad.0xe20000-0x2e1ffff.dmp -a---- 2023-05-03 18:01 1048576 pid.2052.vad.0xe2a0000-0xe39ffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe4a0000-0xe4bffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe4c0000-0xe4dffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe4e0000-0xe4fffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe500000-0xe51ffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe520000-0xe53ffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe540000-0xe55ffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe560000-0xe57ffff.dmp -a---- 2023-05-03 18:01 131072 pid.2052.vad.0xe580000-0xe59ffff.dmp
针对这些dmp文件, 搜索:strings *|findstr 76194688 寻找我qq号相关的敏感数据:
看到的截图如下:
D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xd350000-0xdb4ffff.dmp: /web/verify/iframe?uin=76194688@qq.com&pt_sms_phone=186******49&appid=716027609&pt_3rd_aid=102013353&verify_theme=&feedback_link=https://support.qq.com/products/77942?customInfo=.appid102013353
D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xe4c0000-0xe4dffff.dmp: 76194688
FINDSTR: 行 1475935 太长。
FINDSTR: 行 1476308 太长。
这些数据就都从内存中看到了,如果是窃密木马之类的,就可以这样获取敏感数据。下一章我们将使用malfind和yara识别恶意注入代码。