Memory Forensic

  • 恶意行为最终一定会再内存中显现

内存中能看到什么

  1. 运行中的进程
  • 进程名
  • PID / Parent PID
  • 启动时间
  • 用户身份
  • 动态链接 DLL
  • 分配的内存区域
  1. 网络连接相关信息
  • TCP/UDP
  • 监听端口
  • 外部连接目标(例如去连去一个恶意的 C2)
  1. 密码、密钥、token、认证信息
  • 明文密码片段
  • 加密密钥、session token
  • 解锁密钥
  • Browser session data
  1. 来自非易失性的数据结构的“碎片”
  • MFT片段
  • registry hive 缓存
  • event log fragment
  • 最近执行的命令行 (cmd history)
  1. Malware 运行时的真正位置与行为
  • 恶意代码真正执行的位置只会在内存里被看到

内存是易失的 (No Second Changes)

  • 断电即失
  1. 绝对不能关机(除非任务需要)
  2. 必须立即采集
  3. 操作会污染证据,但只要记录即可接受

其他 “内存来源” - 不止是 RAM Dump

  1. Hibernation File(hiberfil.sys)
存储路径: C:\hiberfil.sys
当 Windows 进入休眠(hibernate)时,它会把整个物理内存写入这个文件。

- 历史状态,不是当前状态
- 内容非常完整
- volatility 转换成 raw dump
- 即使恢复运行,hiberfil.sys 仍然保留在磁盘
- 可包含数周、数月前的内存内容
  1. Pagefile(pagefile.sys)
不是内存完整 dump,而是:
被换出 (paged out)的内存碎片 + 程序暂时不用的数据

- 不具备结构性
- 但包含大量明文数据:密码, URL, 命令记录,注册表碎片等
- 可用strings、bulk_extractor提取明文价值
  1. Virtualisation Memory(如 .vmem)
对于虚拟机(VMware, VirtualBox):

- Suspended VM 会把内存写成 .vmem 文件
- 不影响主机内存
- 可以一次性采集大量虚拟机的内存
- 风险极低(不用进入目标系统操作)

Memory Acquisition

  1. 工具
  • FTK Imager
  • Redline Collector
  • dd / windd
  • PowerShell live memory dump
  • 企业级 Agent 采集
  1. 采集前的三大注意事项
  • 必须保证管理员权限(Admin)
  • 工具不能存到目标硬盘(避免污染)
  • 必须进行详细记录

Redline

  1. 用途:
  • Process
  • Handle
  • DLL
  • 端口和连接
  • 服务
  • 线程
  • registry keys
  • ARP/DNS table
  • 浏览器 artefacts
  • 可视化展示(如层级树、 评分)
  1. Collector
Collector 是 Redline 的采集器,可用于:
- 远程机器
- 大规模部署
- 一次性制作多个分析session

Collector 会采集:
- 内存
- 进程
- registry hives
- Event logs
- 网络连接
- persistence mechanisms (启动项等)
- browser cookies / history

缺点:
- 噪声大
- 执行时间长
- 可能触发 EDR/AV 告警

Checklist

  1. Processes
  2. Handles & DLLs
  3. Ports & Network
  4. Code Injection
  5. Rookits
  6. Export for further analysis

Volatility

  • pslist
  • psscan
  • pstree
  • pstotal - pslist + psscan

Identify suspicious processes

  1. 是否名称 “接近但拼错”
  • svch0st.exe
  • explore.exe
  • csrss_.exe

  1. SYSTEM 进程是否运行在用户文件夹 ImagePath: C:\Users\Public\svchost.exe

  2. StartTime -lsass.exe

  3. 父子关系不合理(pstree) chrome.exe –> winlogon.exe

  4. Duplicated processes

  • lsass.exe

Mobile Forensics

移动设备的发展历史

  1. Dumbphones
  • SMS, 通话记录
  • 简单通讯录
  • 很少的王爷历史

  1. 早期智能手机(Symbian, Windows Mobile, BlackBerry)

  2. 当前时代智能机(Android / iOS)

  • SMS / MMS/ 通话记录
  • 浏览器,邮件,APP全部数据
  • 社交软件(WhatApp,Messenger, 微信等)
  • 照片 + EXIF + 定位
  • GPS, Cell Tower,WIFI, 历史轨迹
  • 各类第三方 App 数据库

设备隔离与防止远程擦除

  • Find My iPhone / Android Device Manager 远程擦除手机
  • 采集前自动同步或删除数据
  • 接收新的短信 / 消息覆盖证据

Isolation Techniques

  1. Power Down
  2. Remove SIM
  3. Airplane Mode
  4. Faraday Bag

Acquisition

  1. Physical Acquision (bit-to-bit)
  2. Logical Acquisition
  • 让系统自己导出文件(File system, App data, Backup)
  1. File System Extraction

Android Forensics

  1. 系统文件结构
/boot
/system
/recovery
/data
/cache
/misc
/sdcard
/sd-ext
  1. 物理/ 逻辑/ ADB
Physical


Logical


ADB Backup

IOS Forensics

  1. iOS Secure Boot Chain
  • Boot ROM(硬件) 验证LLB
  • LLB (Low-Level Bootloader) 验证iBoot
  • iBoot 验证 Kernel
  • Kernel 加载系统
  • Secure Enclave (SEP) 负责验证加密与 Touch ID / Face ID
  1. iOS Acquisition
  • Physical(几乎不可能)
  • Logical
  • iCloud

Cloud Forensics

Shared Responsibility Model

  • 云提供商负责云的安全(security of the cloud), 客户负责云中数据与配置的安全(security in the cloud)