上一页 1 ··· 13 14 15 16 17 18 19 20 21 ··· 274 下一页
2023年5月4日
使用volatility——扫描互斥体和隐藏服务,隐藏服务本质上和隐藏进程一样
摘要: 隐藏服务本质上和隐藏进程没有区别! svcscan原理: 因此,要找到隐藏的服务就需要使用svcscan,同时结合sc query看到的可见服务进行对比,以发现隐藏服务! PS D:\Application\volatility3-stable\moddmp_out> volatility26.ex 阅读全文
posted @ 2023-05-04 01:08 bonelee 阅读(172) 评论(0) 推荐(0)
rootkit检测之检测hook——iat hook、inline hook、eat hook、idt hook、irp hook、ssdt
摘要: 可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 阅读全文
posted @ 2023-05-04 00:41 bonelee 阅读(758) 评论(0) 推荐(0)
2023年5月3日
使用volatility dump从内存中重建PE文件(也可以是sys内核模块)——IAT函数出错的使用impscan解决
摘要: 好了,书中,说了操作的步骤,我们再vol2里实验下。 查看进程: PS D:\Application\volatility3-stable> python .\vol.py -f "D:\book\malwarecookbook-master\malwarecookbook-master\16\7\ 阅读全文
posted @ 2023-05-03 21:36 bonelee 阅读(139) 评论(0) 推荐(0)
使用 volatility 发现内存中的恶意软件——malfind的核心是找到可疑的可执行的内存区域,然后反汇编结果给你让你排查,yarascan是搜索特征码
摘要: 如果是vol3的话,我没有找到合适的命令行可以等价输出(感觉是vol3这块还没有足够成熟),因此:本文使用的是vol2,下载地址:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalon 阅读全文
posted @ 2023-05-03 20:41 bonelee 阅读(491) 评论(1) 推荐(0)
volatility 3 内存取证入门——如何从内存中寻找敏感数据
摘要: volatility 3 内存取证入门——如何从内存中寻找敏感数据 上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下: 我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下: python .\vol.py -f "D:\Virtual Ma 阅读全文
posted @ 2023-05-03 18:19 bonelee 阅读(1507) 评论(2) 推荐(0)
恶意软件如何隐藏DLL以及如何识别它?——可以使用vmmmap、procexp、volatility 3
摘要: 好了,为了简单表示上述提到的PEB和DLL加载的关系,给一一张图如下: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB 阅读全文
posted @ 2023-05-03 17:15 bonelee 阅读(284) 评论(0) 推荐(0)
使用volatility3识别进程上下文——识别进程名欺骗、父进程欺骗、进程镂空(进程掏空)
摘要: 注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下: PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\ 阅读全文
posted @ 2023-05-03 12:10 bonelee 阅读(352) 评论(1) 推荐(0)
使用psscan检测dkom攻击——对于那些直接修改内存对象的rootkit,例如通过dkom实现进程隐藏,这个命令就非常好用了
摘要: pslist 和 psscan 的区别 列表: “ pslist ” 模块使用与将在实时计算机上执行的任务列表命令相同的算法。 而且,Windows 任务管理器也使用相同的方法。 上面提到的命令“pslist”遍历 Windows 内核维护的活动进程结构列表。 windows内核使用EPROCESS 阅读全文
posted @ 2023-05-03 10:45 bonelee 阅读(226) 评论(2) 推荐(0)
2023年5月2日
Volatility 3 使用入门笔记
摘要: 下载恶意软件分析诀窍和工具DVD和vol3 下载地址:https://codeload.github.com/ganboing/malwarecookbook/zip/refs/heads/master 然后,下载vol3,并安装: https://codeload.github.com/volat 阅读全文
posted @ 2023-05-02 23:00 bonelee 阅读(3716) 评论(0) 推荐(0)
process explorer 如何生成转储(dmp)文件
摘要: 我是直接使用proc exp dump的,因为默认的任务管理器不是所有的process都能dump。 任务管理器dump 任务管理器可以说是最易获取的系统工具,同时它具有生成转储文件的功能。但要注意的是在64位操作系统上面,默认启动的是64位的任务管理器。使用任务管理器生成转储文件需要遵循一个原则: 阅读全文
posted @ 2023-05-02 17:22 bonelee 阅读(493) 评论(0) 推荐(0)
上一页 1 ··· 13 14 15 16 17 18 19 20 21 ··· 274 下一页