# 藍隊筆記
## Memory Forensics
### Volatility3 Useage
| Command | Usage | Mean |
| -------- | -------- | -------- |
| pslist | windows.pslist | 顯示進程 |
| info | windows.info | 顯示.dmp檔案資訊 |
| dump | windows.dump | 將程序提取出來 |
| netscan | windows.netscan | 查看程序對外的網絡連線 |
| cmdline | windows.cmdline | 查看程序所使用的指令 |
| dlllist | windows.dlllist | 查看調用的所有dll |
| handle | windows.handle | 查看所有檔案操作 |
### 分析範例
| PID | PPID | ImageFileName | Offset(V) | Threads | Handles | SessionId | Wow64 | CreateTime | ExitTime | File output
| -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- |
|4 | 0 | System| 0xca82b0e88040 | 165 | - | N/A | False | 2024-02-01 19:48:22.000000 UTC | N/A | Disabled|
|108 | 4 | Registry | 0xca82b0eeb080 | 4 | - | N/A | False | 2024-02-01 19:48:15.000000 UTC | N/A | Disabled|
可以透過PID與PPID分析,程序呼叫的前後關係。
就像表格中,PID為4的System呼叫了Registry所以Registry的PPID就是4。
可以透過CreateTime分辨是在何時開始運行的ExitTime則可以查看程序退出的時間。
### Windows常見程序
| NAME | 作用 | PID | PPID | 數量 | 危險 |
| -------- | -------- | -------- | -------- | -------- | -------- |
|system | 系統內核| 4 | 0| 1|PID不等於4,出現system.exe,有網絡連線|
|regustry | 註冊表 | NO | system |1|出現regustry.exe|
|smss | 負責喚醒系統服務 | NO | system|1|數量異常,有網絡連線,路徑錯誤|
|csrss | 子系統一定會有兩個,一個背景一個前景 | NO | smss|2|數量異常,有TCP連線,路徑異常|
|wininit |負責喚醒用戶登入之前可執行的程序 | NO | smss|1|數量異常,路徑異常,有網絡連線|
|winlogon| 負責用戶登入| NO | smss|1|啟用cmd powershell,出現隱藏程序|
|services | 啟用停止背景服務 | NO | wininit|1|數量異常,路徑異常,載入惡意服務|
| lsass | 管理權限 確認密碼 | NO | wininit|1|被dump,異常handle,網絡連線|
| svchost| 搭載服務 如網路連線 音效等| NO | services|N/A|沒有-k,單獨存在,呼叫cmd,C2連線|
|userinit| 負責啟用用戶登入後可運行的程序執行完畢後會主動結束 | NO | winlogon|1|長時間存在,被註冊表變更,呼叫惡意程序|
|explorer |負責使用者操作介面|NO | userinit|1|數量異常,由service啟用,有網絡連線|
|dwm |負責系統動畫| NO | winlogon|1|出現在背景,有網絡連線|
|fontdrvhost| 負責處理字體| NO| 背景由wininit 表面由winlogon|2|路徑異常,出現TCP連線|
|conhost |負責處理console介面| NO| cmd.exe powershell.exe|多開一個+1|父程序為lsass或service,沒有對應的console|
| spoolsv| 負責安排列印|NO| services|1|對外445/139使用|
|MsMpEng |防毒 | NO| services|1|路徑異常,被終止|
|ctfmon |輸入法 |NO |winlogon|1|數量異常,由service啟用,有網絡連線|
| taskhostw |系統定時 | NO | svchost services|1-3|呼叫cmd,任務異常,路徑異常|
| sihost |處理開始表 訊息表| NO | svchost|1|路徑異常,有網絡連線|
### LAB
https://hackmd.io/cw-6FEm_QDefXBWF43biJw
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet