網(wǎng)絡空間安全概論 實驗9 內(nèi)存取證實驗樣例2

實驗二內(nèi)存取證一、實驗目的1、掌握通過命令指令取證，并熟悉基本的取證信息；了解計算機系統(tǒng)取證基本方法，并結合Sysinternals工具進行取證；二、實驗內(nèi)容通過CMD和Sysinternals工具結合使用，從計算機內(nèi)存中獲得系統(tǒng)當前時間日期，系統(tǒng)信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等內(nèi)存信息。通過volati三、實驗步驟下載sysinternals工具/zh-cn/sysinternals/；開始——運行——鍵入“cmd”——結合sysinternals工具對系統(tǒng)進行取證。四、實驗操作內(nèi)容（一）、實驗指導書部分1、輸入date/t取證系統(tǒng)當前的日期輸入time/t獲取系統(tǒng)當前時間圖2-12、利用取證軟件里面的應用PsPasswd，可以進行賬戶密碼等修改圖2-23、PsInfo 用于收集有關本地或遠程WindowsNT/2000系統(tǒng)的關鍵信息，包括安裝類型、內(nèi)核生成、已注冊的組織和所有者、處理器數(shù)量及其類型、物理內(nèi)存量、系統(tǒng)的安裝日期，以及是否為試用版。 用法：psinfo[[\\computer[，computer[,..]|@file[-u用戶[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]篩選器圖2-34、Autoruns 查看在系統(tǒng)啟動并登錄時，哪些程序被配置為自動啟動。Autoruns.exe還顯示了應用程序可在其中配置自動啟動設置的注冊表和文件位置的完整列表。由于我是在虛擬機中進行的實驗，所以有VMware軟件。圖2-45、Handle這一方便的命令行實用程序將向你顯示哪些進程打開了哪些文件，可以看到程序自身的打開文件對的信息，將存放的桌面文件夾09193408打開了。圖2-56、ListDLLs是一種實用程序，用于報告加載到進程中的Dll。可以使用它來列出加載到所有進程中的所有Dll、特定進程或列出已加載特定DLL的進程?？梢钥吹匠绦騉neDrive.exe所加載的動態(tài)鏈接庫，如下圖所示。圖2-67、ipconfig一般用來檢驗人工配置的TCP/IP設置是否正確,可以看到主機的ip為34，默認網(wǎng)關為圖2-78、nbtstat 用于查看在TCP/IP協(xié)議之上運行NetBIOS服務的統(tǒng)計數(shù)據(jù)，并可以查看本地遠程計算機上的NetBIOS名稱列表圖2-89、SC是用來與服務控制管理器和服務進行通信的命令行程序。使用scquery命令枚舉活動服務和驅動程序的狀態(tài)，設備OneSyncSvc_54fab活動服務和驅動程序狀態(tài)如下圖所示：圖2-910、PsGetSid——顯示電腦或使用者的SID，可以看到當前實驗電腦的SID為：S-1-5-21-1491202311-4167021982-3056694813圖2-1011、PsInfo——取得有關系統(tǒng)的資訊，可以看到內(nèi)核版本為：Windows10HomeChina,MultiprocessorFree圖2-1112、PsList——顯示處理程序和執(zhí)行緒的相關資訊，使用命令Pslist-t將進程的信息以樹形打印出來，可以看到進程medge的Pid號為2148圖2-1213、PsKill——終止本機或遠端處理程序，利用次命令關閉上一步查詢到的medge進行，輸入命令pskill2148.進程成功被關閉，在界面上瀏覽器也成功被關閉。圖2-1314、PsLoggedOn——顯示使用者登錄至一個系統(tǒng)，可以看到用戶上一次的登錄時間為4/1814：22：56圖2-1415、PsService是用于Windows的服務查看器和控制器。與WindowsNT和Windows2000資源工具包中包含的SC實用工具一樣，PsService顯示服務的狀態(tài)、配置和依賴項，并允許你啟動、停止、暫停、恢復和重新啟動服務。圖2-1516、PsLogList允許您在當前安全憑據(jù)集不允許訪問事件日志的情況下登錄到遠程系統(tǒng)，PsLogList從所查看的事件日志所在的計算機中檢索消息字符串。圖2-1617、PsShutdown——關機及選擇重新啟動電腦，可以看到該程序有許多參數(shù)可以使用，如下所示。圖2-1718、PsSuspend使你可以掛起本地或遠程系統(tǒng)上的進程，這在進程使用資源(例如網(wǎng)絡、CPU或磁盤)你要允許不同進程使用的情況下是必需的。掛起操作允許在稍后某個時間點繼續(xù)操作，而不是終止占用資源的進程。先查詢某個進程的Pid，然后使用該命令掛起。如下所示，掛起一個瀏覽器：圖2-18執(zhí)行之后，效果如下，然后瀏覽器怎么點擊都沒用。圖2-1919、PsFile是一個命令行實用工具，用于顯示系統(tǒng)上遠程打開的文件的列表，還允許你按名稱或文件標識符關閉打開的文件。這里由于我電腦上沒有遠程打開的文件，所以啥也沒有。圖2-2020、Strings——掃描傳遞文件的UNICODE(或ASCII)默認長度為3個或多個UNICODE(或ASCII)字符串。其使用方法和參數(shù)如下所示。圖2-2121、arp可以用此命令查看主機中的arp綁定信息。使用命令arp-a，信息顯示如下圖，可以看到ip為:的主機arp地址為00-50-56-ea-f0-ec，類型為動態(tài)綁定的。圖2-22（二）、實驗指導書外部分—Sysinternals1、ClockRes知道應用程序可以獲得的系統(tǒng)時鐘的分辨率，或者可能會獲得最大的計時器分辨率,可以看到最大值為15.625ms，最小值為0.500ms,當前值為15.625ms圖2-232、Coreinfo顯示邏輯處理器與它們所在的物理處理器、NUMA節(jié)點和插槽之間的映射，以及分配給每個邏輯處理器的緩存。圖2-243、LoadOrder 顯示2000WindowsNT或Windows加載設備驅動程序的順序。圖2-254、VMMap是一個進程虛擬和物理內(nèi)存分析實用程序。它顯示了進程的已提交虛擬內(nèi)存類型的細分，以及操作系統(tǒng)為這些類型分配的物理內(nèi)存量(工作集)。除了內(nèi)存使用量的圖形化表示形式以外，VMMap還會顯示摘要信息和詳細的進程內(nèi)存映射?？梢钥吹竭M程ApplicationFrameHost.exe的信息結果如下圖所示，總使用大小為215920256k,堆的使用大小為11636k，其他的信息如下圖所示。圖2-265、Adrestore這一簡單的命令行實用工具枚舉域中的已刪除對象，并允許你選擇還原每個對象。由于我的域中沒有已刪除對象，所以顯示結果如下圖所示圖2-276、whois為指定的域名或IP地址執(zhí)行查看注冊記錄。使用命令whois，可以看到服務器更新日期為：2022-01-25T09:00:46Z，創(chuàng)建時間為：1999-10-11T11:05:17Z圖2-287、TcpView它將顯示系統(tǒng)上所有TCP和UDP終結點的詳細列表，包括tcp連接的本地和遠程地址和狀態(tài)?？梢钥吹竭M程system的進程id號為4，處于監(jiān)聽狀態(tài)，本地地址為34，端口為139圖2-29（三）、實驗指導書外部分—Volatility1、volatility_2.6_win64_standalone.exe-f09193408.vmemimageinfo輸入次命令查看內(nèi)存鏡像的信息，如下圖所示：圖2-30 可以看到看到鏡像的系統(tǒng)最為可能是win7系統(tǒng)的文件，創(chuàng)建時間為2019-06-10.2、猜測其系統(tǒng)類型，并調(diào)出其shell命令，使用如下命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64volshell，如果該系統(tǒng)鏡像就是Win7SP1x64系統(tǒng)的，則調(diào)出shell命令，如下圖所示：圖2-313、volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64pslist列舉其進程的信息，如下圖所示，可以看到其進程的相關信息，如System的PID為4，線程個數(shù)為89,句柄為497個，運行時期為2019-06-0704:39:30。圖2-32 也可以使用參數(shù)psscan，該參數(shù)獲得的隱藏進程的信息，可以用來掃描病毒，如下圖所示，可以看到掃出一些pslist沒有掃出的進程。圖2-334、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64dlllist該命令可以查看進程所用到的動態(tài)鏈接庫如下圖所示，可以看到進程schost所需要的動態(tài)鏈接庫。圖2-34 5、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64hivelist該命令查看內(nèi)存中的注冊表相關信息，如下圖所示圖2-34 6、將參數(shù)改為printkey-K“SAM\Domains\Account\Users\Names”查看SAM中的用戶，如下圖所示，可以發(fā)現(xiàn)有3個用戶：“admin、AdministratorGuest”圖2-357、將參數(shù)改為 printkey-K“SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”查看最后登錄系統(tǒng)的用戶，可以發(fā)現(xiàn)最后登錄的是admin圖2-368、輸入命令查看開啟的服務信息： volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64svcscan，如下圖所示，可以看到WudfPf、wuausev、VMnetDHCP三個服務的信息，路徑、進程id等。圖2-379、使用命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64filescan查看內(nèi)存中可能保存的文件如下圖所示，可以看到各個文件的相應權限和所在位置。圖2-3810、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64privs查看進程的權限，如下圖所示，可以看到系統(tǒng)進程創(chuàng)建和分發(fā)令牌等權限圖2-3911、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64printkey 查看注冊表的鍵和子鍵等信息。如下圖可以發(fā)現(xiàn)名為“SOFTWARE”的注冊表的主鍵為“CMI-CreateHive{199DAFC2-6F16-4946-BF90-5A3FC3A60902}(S)”其子建也如下圖所示圖2-4012、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64messagehooks展示桌面和線程窗口消息的掛鉤圖2-4113、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mftparser掃描并解析mft表的信息，可以發(fā)現(xiàn)第一個解析出來的mft記錄項的信息，其記錄號為4408，引用個數(shù)為2，標準信息等也可從下圖知道。圖2-4214、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mbrparser掃描并解析mbr表的信息，結