volatility 3 内存取证入门——如何从内存中寻找敏感数据

volatility 3 内存取证入门——如何从内存中寻找敏感数据

 

 

 

上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下:

 

我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下:

python .\vol.py -f "D:\Virtual Machines\Windows 10 x64 1809\Windows 10 x64-b5976eea.vmem" windows.vadinfo --dump --pid 2052

 然后就看到了很多dmp文件,

-a----        2023-05-03     18:01       33554432 pid.2052.vad.0xe20000-0x2e1ffff.dmp
-a----        2023-05-03     18:01        1048576 pid.2052.vad.0xe2a0000-0xe39ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4a0000-0xe4bffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4c0000-0xe4dffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4e0000-0xe4fffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe500000-0xe51ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe520000-0xe53ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe540000-0xe55ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe560000-0xe57ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe580000-0xe59ffff.dmp

针对这些dmp文件, 搜索:strings *|findstr 76194688 寻找我qq号相关的敏感数据:

看到的截图如下:


D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xd350000-0xdb4ffff.dmp: /web/verify/iframe?uin=76194688@qq.com&pt_sms_phone=186******49&appid=716027609&pt_3rd_aid=102013353&verify_theme=&feedback_link=https://support.qq.com/products/77942?customInfo=.appid102013353
D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xe4c0000-0xe4dffff.dmp: 76194688
FINDSTR: 行 1475935 太长。
FINDSTR: 行 1476308 太长。

 

这些数据就都从内存中看到了,如果是窃密木马之类的,就可以这样获取敏感数据。下一章我们将使用malfind和yara识别恶意注入代码。

 

posted @ 2023-05-03 18:19  bonelee  阅读(1047)  评论(2编辑  收藏  举报