R RAM پزشکی قانونی – تیم امنیت اطلاعات

پزشکی قانونی حافظه چیست؟

پزشکی قانونی حافظه یک تجزیه و تحلیل پزشکی قانونی از روگرفت حافظه رایانه است.

کاربرد اصلی آن بررسی حملات پیچیده رایانه ای است که به اندازه کافی مخفیانه هستند و نمی توانند داده ها را روی دیسک سخت رایانه بگذارند.

برای حفظ اطلاعات پزشکی باید از حافظه (RAM) استفاده شود.

الزامات لازم

• ابزار:
• تصویر:

نام کامپیوتر را بدست آورید

Tool: Volatility

Command:

 vol.py -f  -profile =  envars | findstr COMPUTERNAME 

ویندوز متغیرهای محیط بسیاری برای شروع فرآیندهایی دارد که می توانند داده های راهنما مانند سیستم عامل ، TEMP را بازیابی کنند. ، windir ، Path … و نام میزبان مورد استفاده در متغیرهای تحت عنوان COMPUTERNAME ذخیره می شود.

شما می توانید متغیرهای محیط را از طریق Power Shell مشاهده کنید.

فرمان:

 Get-ChildItem Env 

لیستی از مراحل را بدست آورید.

ابزار: Volatility

Command:

 vol.py  -f  -profile ==  pslist 

psscan: اسكن كردن _EPROCESS اشیاء را به جای تکیه به یک لیست پیوندی.

استفاده از Redline:

یک رمز عبور بدست آورید

П بیایید کندو رجیستری را

vol.py -f ch2.dmp –profile = hivelist Win7SP1x86
بنیاد ناپایدار چارچوب نوسانات 2.6.1
نام فیزیکی مجازی
———- – ——- —-
0x8ee66740 0x141c0740 SystemRoot System32 Config SOFTWARE
0x90cab9d0 0x172ab9d0 SystemRoot System32 Config DEFAULT
0x9670e9d0eeeeeeee0eeeeeee0ee dat
0x9670f9d0 0x04a719d0 ؟؟ C: Users John Doe AppData Local Microsoft Windows UsrClass. DAT
0x9aad6148 0x131af148 SYSTEMROOT system32 پیکربندی SAM
0x9ab25008 0x14a61008 SYSTEMROOT system32 پیکربندی SECURITY
0x9aba79d0 0x11a259d0 ؟؟ C: ویندوز ServiceProfiles LocalService NTUSER.DAT [19659035] 0x9abb1720 0x0a7d4720 ؟؟ C: ویندوز ServiceProfiles NETWORKSERVICE NTUSER.DAT
0x8b20c008 0x039e1008 [no name]
0x8b21c008 0x039ef008 REGISTRY ماشین SYSTEM
0x8b23c008 0x02ccf008 REGISTRY ماشین HARDWARE [19659035] 0x8ee66008 0x141c0008 دستگاه HarddiskVolume1 Boot BCD

بیایید هش ها را پاک کنیم

اکنون با کمک افست مجازی SYSTEM و SAM می توانیم هش ها را حذف کنیم: ] D: volatility> vol.py -f ch2.dmp –profile = Win7SP1x86 hashdump -y 0x8b21c008 -s 0x9aad6148> hashes.txt
چارچوب نوسانات بنیاد ناپایداری 2.6.1

هش هک

شما می توانید از یک ابزار محلی (به عنوان مثال HashCat) یا برخی از ابزارهای آنلاین استفاده کنید.

در این راهنما از HashKiller استفاده می کنم:

قطعه شبکه

چندین ابزار وجود دارد که می تواند برای ساختن یک قطعه شبکه از حافظه استفاده کند: bulk_extractor و CapLoader.

در اینجا ما از CapLoader استفاده می کنیم.

CapLoader با استفاده از عملکرد برش بسته ها از یک پرونده می تواند داده های شبکه را حذف کند.

CapLoader ابزاری برای ویندوز است که برای کنترل تعداد زیادی از ترافیک شبکه اسیر شده طراحی شده است. .

کاربران می توانند جریان مورد علاقه خود را انتخاب کرده و به سرعت این بسته ها را از پرونده های PCAP بارگیری شده فیلتر کنند.

ارسال جریان و بسته های انتخاب شده به یک ابزار آنالایزر بسته ای مانند Wireshark یا NetworkMiner با یک کلیک انجام می شود.

CapLoader ابزاری ایده آل است. برای پردازش پرونده های PCAP با داده های بزرگ با اندازه تا چندین گیگ (GB).

از ، دزدگیر موضوعات منحصر به فرد را می توان در چند ثانیه به ابزارهایی مانند Wireshark و NetworkMiner صادر کرد.

همچنین می توانید با استفاده از پرونده pcap اطلاعات اضافی را مشاهده کنید.

در این مقاله چند دستور اساسی را برای نمایش مثال ها نشان دادم. پزشکی قانونی حافظه دسترسی تصادفی.

درس بعدی تحلیل هر مورد خاص خواهد بود.