网络空间安全概论 实验9 内存取证实验样例2

实验二内存取证一、实验目的1、掌握通过命令指令取证，并熟悉基本的取证信息；了解计算机系统取证基本方法，并结合Sysinternals工具进行取证；二、实验内容通过CMD和Sysinternals工具结合使用，从计算机内存中获得系统当前时间日期，系统信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等内存信息。通过volati三、实验步骤下载sysinternals工具/zh-cn/sysinternals/；开始——运行——键入“cmd”——结合sysinternals工具对系统进行取证。四、实验操作内容（一）、实验指导书部分1、输入date/t取证系统当前的日期输入time/t获取系统当前时间图2-12、利用取证软件里面的应用PsPasswd，可以进行账户密码等修改图2-23、PsInfo 用于收集有关本地或远程WindowsNT/2000系统的关键信息，包括安装类型、内核生成、已注册的组织和所有者、处理器数量及其类型、物理内存量、系统的安装日期，以及是否为试用版。 用法：psinfo[[\\computer[，computer[,..]|@file[-u用户[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]筛选器图2-34、Autoruns 查看在系统启动并登录时，哪些程序被配置为自动启动。Autoruns.exe还显示了应用程序可在其中配置自动启动设置的注册表和文件位置的完整列表。由于我是在虚拟机中进行的实验，所以有VMware软件。图2-45、Handle这一方便的命令行实用程序将向你显示哪些进程打开了哪些文件，可以看到程序自身的打开文件对的信息，将存放的桌面文件夹09193408打开了。图2-56、ListDLLs是一种实用程序，用于报告加载到进程中的Dll。可以使用它来列出加载到所有进程中的所有Dll、特定进程或列出已加载特定DLL的进程。可以看到程序OneDrive.exe所加载的动态链接库，如下图所示。图2-67、ipconfig一般用来检验人工配置的TCP/IP设置是否正确,可以看到主机的ip为34，默认网关为图2-78、nbtstat 用于查看在TCP/IP协议之上运行NetBIOS服务的统计数据，并可以查看本地远程计算机上的NetBIOS名称列表图2-89、SC是用来与服务控制管理器和服务进行通信的命令行程序。使用scquery命令枚举活动服务和驱动程序的状态，设备OneSyncSvc_54fab活动服务和驱动程序状态如下图所示：图2-910、PsGetSid——显示电脑或使用者的SID，可以看到当前实验电脑的SID为：S-1-5-21-1491202311-4167021982-3056694813图2-1011、PsInfo——取得有关系统的资讯，可以看到内核版本为：Windows10HomeChina,MultiprocessorFree图2-1112、PsList——显示处理程序和执行绪的相关资讯，使用命令Pslist-t将进程的信息以树形打印出来，可以看到进程medge的Pid号为2148图2-1213、PsKill——终止本机或远端处理程序，利用次命令关闭上一步查询到的medge进行，输入命令pskill2148.进程成功被关闭，在界面上浏览器也成功被关闭。图2-1314、PsLoggedOn——显示使用者登录至一个系统，可以看到用户上一次的登录时间为4/1814：22：56图2-1415、PsService是用于Windows的服务查看器和控制器。与WindowsNT和Windows2000资源工具包中包含的SC实用工具一样，PsService显示服务的状态、配置和依赖项，并允许你启动、停止、暂停、恢复和重新启动服务。图2-1516、PsLogList允许您在当前安全凭据集不允许访问事件日志的情况下登录到远程系统，PsLogList从所查看的事件日志所在的计算机中检索消息字符串。图2-1617、PsShutdown——关机及选择重新启动电脑，可以看到该程序有许多参数可以使用，如下所示。图2-1718、PsSuspend使你可以挂起本地或远程系统上的进程，这在进程使用资源(例如网络、CPU或磁盘)你要允许不同进程使用的情况下是必需的。挂起操作允许在稍后某个时间点继续操作，而不是终止占用资源的进程。先查询某个进程的Pid，然后使用该命令挂起。如下所示，挂起一个浏览器：图2-18执行之后，效果如下，然后浏览器怎么点击都没用。图2-1919、PsFile是一个命令行实用工具，用于显示系统上远程打开的文件的列表，还允许你按名称或文件标识符关闭打开的文件。这里由于我电脑上没有远程打开的文件，所以啥也没有。图2-2020、Strings——扫描传递文件的UNICODE(或ASCII)默认长度为3个或多个UNICODE(或ASCII)字符串。其使用方法和参数如下所示。图2-2121、arp可以用此命令查看主机中的arp绑定信息。使用命令arp-a，信息显示如下图，可以看到ip为:的主机arp地址为00-50-56-ea-f0-ec，类型为动态绑定的。图2-22（二）、实验指导书外部分—Sysinternals1、ClockRes知道应用程序可以获得的系统时钟的分辨率，或者可能会获得最大的计时器分辨率,可以看到最大值为15.625ms，最小值为0.500ms,当前值为15.625ms图2-232、Coreinfo显示逻辑处理器与它们所在的物理处理器、NUMA节点和插槽之间的映射，以及分配给每个逻辑处理器的缓存。图2-243、LoadOrder 显示2000WindowsNT或Windows加载设备驱动程序的顺序。图2-254、VMMap是一个进程虚拟和物理内存分析实用程序。它显示了进程的已提交虚拟内存类型的细分，以及操作系统为这些类型分配的物理内存量(工作集)。除了内存使用量的图形化表示形式以外，VMMap还会显示摘要信息和详细的进程内存映射。可以看到进程ApplicationFrameHost.exe的信息结果如下图所示，总使用大小为215920256k,堆的使用大小为11636k，其他的信息如下图所示。图2-265、Adrestore这一简单的命令行实用工具枚举域中的已删除对象，并允许你选择还原每个对象。由于我的域中没有已删除对象，所以显示结果如下图所示图2-276、whois为指定的域名或IP地址执行查看注册记录。使用命令whois，可以看到服务器更新日期为：2022-01-25T09:00:46Z，创建时间为：1999-10-11T11:05:17Z图2-287、TcpView它将显示系统上所有TCP和UDP终结点的详细列表，包括tcp连接的本地和远程地址和状态。可以看到进程system的进程id号为4，处于监听状态，本地地址为34，端口为139图2-29（三）、实验指导书外部分—Volatility1、volatility_2.6_win64_standalone.exe-f09193408.vmemimageinfo输入次命令查看内存镜像的信息，如下图所示：图2-30 可以看到看到镜像的系统最为可能是win7系统的文件，创建时间为2019-06-10.2、猜测其系统类型，并调出其shell命令，使用如下命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64volshell，如果该系统镜像就是Win7SP1x64系统的，则调出shell命令，如下图所示：图2-313、volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64pslist列举其进程的信息，如下图所示，可以看到其进程的相关信息，如System的PID为4，线程个数为89,句柄为497个，运行时期为2019-06-0704:39:30。图2-32 也可以使用参数psscan，该参数获得的隐藏进程的信息，可以用来扫描病毒，如下图所示，可以看到扫出一些pslist没有扫出的进程。图2-334、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64dlllist该命令可以查看进程所用到的动态链接库如下图所示，可以看到进程schost所需要的动态链接库。图2-34 5、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64hivelist该命令查看内存中的注册表相关信息，如下图所示图2-34 6、将参数改为printkey-K“SAM\Domains\Account\Users\Names”查看SAM中的用户，如下图所示，可以发现有3个用户：“admin、AdministratorGuest”图2-357、将参数改为 printkey-K“SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”查看最后登录系统的用户，可以发现最后登录的是admin图2-368、输入命令查看开启的服务信息： volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64svcscan，如下图所示，可以看到WudfPf、wuausev、VMnetDHCP三个服务的信息，路径、进程id等。图2-379、使用命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64filescan查看内存中可能保存的文件如下图所示，可以看到各个文件的相应权限和所在位置。图2-3810、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64privs查看进程的权限，如下图所示，可以看到系统进程创建和分发令牌等权限图2-3911、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64printkey 查看注册表的键和子键等信息。如下图可以发现名为“SOFTWARE”的注册表的主键为“CMI-CreateHive{199DAFC2-6F16-4946-BF90-5A3FC3A60902}(S)”其子建也如下图所示图2-4012、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64messagehooks展示桌面和线程窗口消息的挂钩图2-4113、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mftparser扫描并解析mft表的信息，可以发现第一个解析出来的mft记录项的信息，其记录号为4408，引用个数为2，标准信息等也可从下图知道。图2-4214、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mbrparser扫描并解析mbr表的信息，结