kali linux之取证
取证简介:
CSI:物理取证
指纹、DNA、弹道、血迹
无力取证的理论基础是物质交换原则
数字取证/计算机取证
智能设备、计算机、手机平板、loT、有线及无线信道、数据存储
事件响应调查------黑客攻击,渗透测试留痕
通用原则----(取证分析全部过程记录文档)
维护证据完整性
数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析
数字HASH值验证数据完整性
维护监管链
物理证物保存在证物袋中,每次取出使用严格记录,避免破坏污染
数字证物原始版本写保护,使用拷贝进行分析
标准的操作步骤
证物使用严格按照按照规范流程,即使事后证明流程有误(免责)
数字取证
不要破坏数据现场(看似简单,实际几乎无法实现)
寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据
非易失性存储介质通常使用完整镜像拷贝保存
正常关机还是直接拔掉电源(数据丢失破坏)
证据搜索
数据
信息
证据
取证科学
作为安全从业者
通过取证还原黑客入侵的轨迹
作为渗透测试和黑客攻击区分标准
世纪佳缘事件
印象笔记渗透测试事件
取证方法
活取证
抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
使用未受感染的干净程序执行取证,U盘/网络存储收集数据
死取证
关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)
内存dump工具(windows)
Dumpit----内存文件与内存大小接近或者稍微大一点,raw格式
取证工具-----Volatility
常用参数
-f 指定文件名
imageinfo:
用于查看我们正在分析的内存样本的摘要信息。具体来说显示主机所使用的操作系统版本、服务包以及硬件结构(32位或64位)、页目录表的起始地址和该获取该内存镜像的时间等基本信息
其中以.raw后缀的文件名就是本机的内存镜像。>imageinfo.txt是把imageinfo命令取得的信息定向的存在imageinfo.txt的文件中。
kpcrscan:
用于查找内存中用于定义内核处理器控制区域(KPCR)的_KPCR结构体信息,具体来说,可以显示每个处理器的详细信息,包括IDT(线程控制符)和GDT(全局段描述符表)地址,当前运行的线程和空闲线程,CPU数量、制造厂商及其速度,CR3寄存器或页目录表基地址的值等信息。该命令的使用方法要用到imageinfo取得的profile信息
dlllist:
能够显示一个进程装载的动态链接库的信息,其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径。
filescan:
此命令将显示系统上的打开的文件,包括已被恶意软件隐藏的文件
handles:
显示在一个进程中打开的处理
modscan:
扫描_ldr_data_table_entry对象的物理内存。显示内核的驱动程序,包括已隐藏/链接的
netscan:
发现TCP / UDP端点和监听器。这个命令将显示一个主动网络连接的列表
pslist:
可以枚举系统中的进程,这条命令通过遍历PsActiveProcessHead指针指向的双向链表枚举当前内存中活跃的所有进程信息,主要包括偏移地址、进程ID号、父进程ID号、线程数量、句柄数量、进程会话ID号以及进程开始和退出的时间
pstree:
这个命令显示跟pslist一样的信息,以树的形式
connscan:
查看网络连接
实例:
查询文件信息,关注 profile
volatility imageinfo -f win.dmp imageinfo
查询数据库文件
volatility hivelist -f win.dmp --profile=Win7SP1x86
volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist
volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree
按虚内存地址查看注册表内容
volatility -f win.dmp --profile=Win7SP1x86 hivelist
volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648
查看用户账号
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
最后登录的用户
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
正在运行的程序、运行过多少次、最后一次运行时间等
volatility -f win.dmp --profile=Win7SP1x86 userassist
进程列表及物理内存
volatility -f win.dmp --profile=Win7SP1x86 pslist
dump 进程内存
volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/
root@Hitman47:~/dumpdir# hexeditor 3684.dmp
root@Hitman47:~/dumpdir# strings 3684.dmp > 1111.txt
root@Hitman47:~/dumpdir# strings 3684.dmp | grep password
root@Hitman47:~/dumpdir# strings 3684.dmp | grep /
root@Hitman47:~/dumpdir# strings 3684.dmp | grep @
命令历史
volatility cmdscan -f win.dmp --profile=Win7SP1x86
网络连接
volatility netscan -f win.dmp --profile=Win7SP1x86
IE 历史
volatility iehistory -f win.dmp --profile=Win7SP1x86
提取hash
volatility -f win.dmp --profile=Win7SP1x86 hivelist
firefoxhistory 插件
volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory
USN 日志记录插件--NTFS 特性,用于跟踪硬盘内容变化(不记录具体变更内容)
wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/
volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
Timeline-------插件从多个位置收集大量系统活动信息
volatility -f win.dmp --profile=Win7SP1x86 timeliner
友情链接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn
kali linux之取证的更多相关文章
- ApacheCN Kali Linux 译文集 20211020 更新
Kali Linux 秘籍 中文版 第一章 安装和启动Kali 第二章 定制 Kali Linux 第三章 高级测试环境 第四章 信息收集 第五章 漏洞评估 第六章 漏洞利用 第七章 权限提升 第八章 ...
- Kali Linux的发展史,专为数字取证和渗透测试而设计
Kali Linux拥有非常强大的网络功能,Kali Linux是一个Debian衍生的Linux发行版,专为数字取证和渗透测试而设计.它是由OffensiveSecurityLtd维护和资助,是由M ...
- Kali Linux 2.0配置并安装常用的工具
Kali Linux 前身是著名渗透测试系统BackTrack ,是一个基于 Debian 的 Linux 发行版,包含很多安全和取证方面的相关工具. Kali Linux 2.0是基于Debian ...
- KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础
原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础..... ...
- 安装Kali Linux操作系统Kali Linux无线网络渗透
安装Kali Linux操作系统Kali Linux无线网络渗透 Kali Linux是一个基于Debian的Linux发行版,它的前身是BackTrack Linux发行版.在该操作系统中,自带了大 ...
- 玩转渗透神器Kali:Kali Linux作为主系统使用的正确姿势TIPS
Kali Linux 前身是著名渗透测试系统BackTrack ,是一个基于 Debian 的 Linux 发行版,包含很多安全和取证方面的相关工具. 本文假设你在新装好的kali linux环境下… ...
- Kali linux渗透测试的艺术 思维导图
Kali Linux是一个全面的渗透测试平台,其自带的高级工具可以用来识别.检测和利用目标网络中未被发现的漏洞.借助于Kali Linux,你可以根据已定义的业务目标和预定的测试计划,应用合适的测试方 ...
- Kali Linux 发布 2019.1 版
Kali Linux 是一个基于 Debian 的发行版,关注于高级渗透测试和安全审计并搭载各种常用工具,由 Offensive Security 维护.后者是一个提供信息安全训练的公司. 该项目于日 ...
- kali linux安装教程及VMware Tool工具的安装
一.Kali Linux在VMware下的安装 kali系统的简介 1.Kali Kali Linux是基于 Debian 的 Linux发行版,设计用于数字取证和渗透测试的操作系统.由Offensi ...
随机推荐
- JAVA 操作Excel工具类
Bean转Excel对象 /* * 文件名:BeanToExcel.java */ import java.util.ArrayList; import java.util.List; import ...
- 【转】简述TCP的三次握手过程
TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接.第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确 ...
- Kafka学习之broker配置(0.8.1版)(转)
broker.id 默认值:无 每一个broker都有一个唯一的id,这是一个非负整数,这个id就是broker的"名字",这样就允许broker迁移到别的机器而不会影响消费者. ...
- eShopOnContainer 第一步
运行结果截图: 操作流程: 1. git上clone 项目 windows版的docker并且安装成功,配置3核CPU,4G内存 vs 2017 (15.5)版本以上. 打开项目 eshopOnCon ...
- 76. Minimum Window Substring (String, Map)
Given a string S and a string T, find the minimum window in S which will contain all the characters ...
- Cookie、Session、Token
一.发展史 .最初.Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加相应,尤其是我不用记住是谁刚刚发了H ...
- Entity Framework 6.0 对枚举的支持/实体添加后会有主键反回
实验 直接上代码,看结果 实体类 [Flags] public enum FlagsEnum { Day = , Night = } public class EntityWithEnum { pub ...
- Castle ActiveRecord学习(七)使用日志
暂无 参考:http://terrylee.cnblogs.com/archive/2006/04/14/374829.html
- [DT] 数据结构术语中英文对照
数据结构术语中英文对照 数据 Data 数据元素 Data element 数据项 Data item 数据结构 Data structure 逻辑结构 Logical structure 数据类型 ...
- [Training Video - 1] [Selenium Basics] [Download and Install Selenium]
Download Selenium Jars Configure jars in eclipse Webdriver http://docs.seleniumhq.org/download/ Sele ...