如何在MS-Windows中捕获“内存中”恶意软件？

#1 楼

您应该分两个步骤进行操作：

首先：您需要看一下MoonSols Windows Memory Toolkit社区版。它将使您可以将内存转储到文件中以进行进一步的分析

第二：然后，您将需要Volatility Toolkit来分析转储文件并从中提取信息，二进制文件，DLL等。

有关波动率的绝佳示例：使用波动率-看看Andre DiMino关于Cridex的博客文章

#2 楼

我同意Denis的回答，但对我来说，第0步是从HBGary启动FlyPaper。


HBGary Flypaper是您对抗恶意软件的无价工具。
大多数恶意软件分为两阶段或三阶段部署。首先，
dropper程序将启动第二个程序，然后将其删除。
第二个程序可能需要执行其他步骤，例如将DLL的
注入其他进程，加载rootkit等。这些步骤可以快速执行，并且使分析师难以捕获部署中使用的所有二进制文件。 HBGary Flypaper为分析人员解决了此问题。

HBGary Flypaper作为设备驱动程序加载，并阻止所有尝试退出进程，结束线程或删除内存的尝试。恶意软件使用的所有组件都将保留在进程列表中，并保留在物理内存中。报告了整个执行链，因此您可以按照每个步骤进行操作。然后，一旦转储物理内存以进行分析，就将所有组件“冻结”在内存中-没有任何东西会被卸载。所有的证据都在您身边。

#3 楼

正如其他人提到的，您应该做的第一件事是使用MoonSols转储内存。这将允许您稍后使用Volatility进行内存分析。对于恶意软件分析，我发现IDA最有用。为了使它有用，您将需要一个进程转储和一种重建导入表的方法。如果恶意软件可以传播到其他进程，我将创建一个虚拟进程，将其转储然后重建导入表。例如，如果恶意软件注入iexplore.exe，请打开Ollydbg，将调试选项事件更改为System Breakpoint，打开iexplore.exe，然后搜索RWX的内存（在此进行描述）。检查内存中的内容，如果其中包含您的内存，则恶意软件转储该过程，然后重建导入表。如果需要手动重建导入表，则可以使用以下脚本。如果该进程没有传播，则可以通过调试器附加到该进程。

免责声明：我是那些链接的作者。

#4 楼

MoonSols和波动率是一种选择。

另一组选项是Redline和Memoryze，它们都来自Mandiant。

Memoryze的另一个好处是它包含了内存获取功能。

#5 楼

Moonsols是一个不错的选择，但我注意到不再有购买它的选择，这让我想知道是否已经停止了支持。

我认为，最好的入门方法与win32dd，win64dd或mdd一起使用。另一个自动化程度更高的选项是DumpIt（由Moonsols的制造商创建）。对于大多数任务，我更喜欢使用mdd，但我尚未在64位系统上对其进行测试。

根据您要查找的内容，我倾向于使用像Scalpel这样的文件雕刻器来挑选所有可识别的内容。波动性也很好，但是我个人认为学习如何在十六进制编辑器中识别文件结构并将其裁剪出来将使您更好地了解转储的内存以及实际查看的内容。

编辑：

Backtrack r3中提供了最新版本的手术刀，我只是从那里拉了它。与其他版本一样，我有较旧的副本，可以正常使用。 DumpIt仍可在MoonSols站点上使用，并且非常适合32或64bit，请尝试一下：moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream