columbo——EDR上进程注入可以使用，依赖Volatility3 内存提取，无文件攻击典型场景

EDR上进程注入可以使用。Volatility3 内存提取。--无文件攻击典型场景

项目地址：https://github.com/visma-prodsec/columbo

 

哥伦布和机器学习

Columbo 使用数据预处理来组织数据和机器学习模型以识别可疑行为。它的输出要么是 1（可疑）要么是 0（真实）——以一种建议的形式，纯粹是为了帮助数字取证审查员做出决策。我们用不同的例子训练模型以最大限度地提高准确性，并使用不同的方法来最大限度地减少误报。但是，仍然会出现误报（错误检测），因此我们致力于定期更新模型。   

 

自动或手动内存图像分析

手动内存图像分析

内存取证。在该选项中，Columbo 采用内存映像的路径，并生成以下选项供用户选择。

1. 内存信息： Volatility 3 用于提取有关图像的信息。
2. Processes Scan: Volatility 3用于提取进程、dll和处理每个进程的信息。然后，Columbo 使用分组和集群机制将每个进程根据它们的母进程进行分组。此选项稍后由异常检测选项下的过程可追溯性使用。
3. 进程树： Volatility 3 用于提取进程的进程树。
4. 异常检测和过程可追溯性： Volatility 3 用于提取异常检测过程的列表。但是，Columbo 提供了一个名为 Process Traceability 的选项，用于分别检查每个流程并共同生成以下信息。

• 可执行文件和相关命令的路径。
• 使用机器学习模型来确定已识别过程的合法性。
• 将每个进程一直追溯到其根进程（完整路径）及其执行日期和时间。
• 确定该进程是否负责执行其他进程，即它是否将成为新进程的母进程。
• 它提取、处理和 dll 的每个进程的信息，并将其余信息呈现给它们。 

自动内存图像分析

以上所有，但以自动化方式。