AIS3 180804 === ###### tags: `AIS3` `筆記` # 區塊鏈 ## 智慧合約 - Solidity 參考中區共筆 # 記憶體鑑識與惡意程式行為分析 > Jimmy Hsu > winterthink@gmail.com ## Tools - Autopsy - AccessData FTK Imager - WinHex - EnCase Imager - EnCase Linen ### 分析判讀重點 - 瀏覽過網頁 - 線上軟體對話 - 已開啟檔案與其暫存資料 - 寄送與收件的網頁電子郵件 ## Hiberfil.sys 系統休眠檔案 ## Pagefile.sys 記憶體裡面的咚咚 在系統中執行過的程式, 都會被轉譯成 ROT13 可以在此檔案搜尋 rkr 這個 keyword (exe 經過 ROT13 的密文) - 可由 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management - 可從機碼 PagingFiles ExstingPageFiles 中得知所在路徑 1. 先用 AccessData FTK Imager 把記憶體全 Load 2. 再從 Root 把 pagefile.sys extract 出來 3. 用 hexeditor 開始鑑識 ## USB 媒體使用紀錄 Windows Registry 中會有留存使用過的 USB 紀錄 記憶體中也有, 且記憶體中還會有該設備的 dirver 在記憶體中的關鍵字: USBSTOR ## 小知識時間 - 只有 windows 7 的非快速格式化才有真正的清除磁碟 ## volatility command ``` volatility.exe -f <file_name> <option> [--profile=<Profile>] ``` ### option: - imageinfo 確認作業系統版本及相關資訊 - pslist - connscan - Psxview - pstree - connections - hivelist - malfind -p <pid> extract 針對特定 pid 程序 - hashdump -y <offset> -s <offset> ### Profile: e.g. - WinXPSP2x86