在电子数据取证分析比武和实际案件中,内存分析一直是关注的重点之一。内存取证的对象是系统运行时的在线数据(也叫易失数据)。系统中的各种信息(如进程、服务、应用、网络浏览历史、编辑的文档、图片、发送和接收的网络数据、运行的程序、剪贴板、用户名和密码、注册表、屏幕显示的内容等),均会在内存中存在,这些数据也最能反映案件现场的原始状况。
市面上有众多的内存工具,最著名的就是Volatility,一个顶级开源的内存分析工具,使用者众多,功能及模块也非常强大,但由于没有可视化操作,因此对于初级使用者来说有些难度。今天笔者推荐一款小众的免费可视化内存取证工具—Redline。
Redline是知名安全公司FireEye发布的一款针对内存分析的免费的可视化工具,通过对内存数据的分析和整理,为用户提供主机调查功能,便于发现恶意软件的迹象并生成威胁评估报告。
RedLine使用起来非常方便,安装完后,点击图标即可运行起来。它的界面非常简洁和实用,主要有两个功能:
一、收集数据(Collect Data)
RedLine可以生成数据收集的配置文件并存储在U盘中,可对目标计算机进行特定文件收集,如内存、磁盘信息、注册表信息、网络信息等。
特别值得提到的是,RedLine支持IOCs(失陷指标)分析,可展示出目标电脑是否受到攻击、木马植入等。(本期将不关注IOCs分析)
二、分析数据(Analyze Data)
RedLine可以对内存进行详细的分析,支持主流三大操作系统Windows、OS X、Linux的内存镜像。
接下来,我们将以一个.vmem的内存镜像进行举例演示:
1. 加载内存文件
1)使用时,从开始界面点击From a Saved Memory File 进行内存分析:
也可以通过点击左上角图标,在下拉菜单中选择Analyze a Saved Memory File进入内存分析界面:
2)指定内存文件,如下图所示。Redline支持多种内存工具制作的内存镜像格式,如.img、.mem、.raw、.vmem等:
选中需要分析的内存镜像,点击Next进入下一步:
3)用户可进行分析内容的参数配置,点击Edit your script,选中需要分析的内容:
勾选Show Advanced Parameters后,显示更多进程参数选项,可进行特定进程的分析:
完成分析参数配置后,点击确定,系统自动开始进行内存分析:
2. 分析结果查看
分析完成后,用户可通过点击左侧目录列表进行分析结果查看。(下面我们简单展示下几个功能的分析结果)。
1)Processes – 列出内存中所有的进程列表,包含Process Name(进程名称)、PID、Path(路径)、开始时间、SID等多种详细内容。用户也可点击下面的Handles(句柄)、Memory Sections(内存分布)、Strings(字符串)、Ports(端口)分别查看进程中的细分类型展示。
下图为Ports功能展示,用户可以对每一列进行排序和过滤筛选,并且分析出包括IP地址、State(端口状态)、Created(创建时间)、Protocol(协议类型)等重要信息。
2)Hierachical Processes – 列出进程中的父子进程的层级关系:
3)Driver Modules – 列出内存中的驱动程序,包括名称、路径、大小、内存地址等详细内容:
4)Hooks –内存中钩子的详细情况,包括调用钩子的程序、功能模块、钩子的地址信息、钩子的类型等内容:
Redline作为一款内存分析工具,操作和查看结果都非常简单,在使用中具有如下优点:
-
排序功能 — 具有支持列的内容排序,如时间排序、名称排序、PID排序等等,可以快速帮助用户定位所要找的内容:
2. 过滤功能 — 用户通过每一列下的漏斗标志,输入关键字,设置内容条件选择进行快速结果过滤,而且还支持多列多条件组合过滤功能及正则表达式的使用:
3. 可视化程度高 -– 以Strings功能为例,用户查找内存中涉及到“english”字符串的进程,只需要在分析时勾选“Strings”配置参数后,就可在结果中通过关键字查找快速找到想要的结果:
4. 信息查看方便 –例如单一进程的内容细节查看:
5. 标签功能 – 采用不同的颜色标签,只需点击Tag标志,即可切换颜色,方便用户标记筛选线索:
6. 结果导出 – 支持结果清单可导出为.csv格式,方便后期进行数据处理:
总结一下:
Redline具有非常友好的可视化界面,相比于其他的内存分析工具来说,对用户更容易上手操作,线索查找高效便捷。目前可支持Windows10系统的内存分析。但它也有不足,分析功能上略逊Volatility一筹,而且需要使用者具有一定的英文基础。
Redline作为一款免费工具软件,实用功能强大,本次我们简单地分享了它的内存分析功能,里面还有其他特别功能,后期我们将一一分享。
另附其下载方式:
https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-redline.zip
安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电95015,期待您的来电!
原文始发于微信公众号(盘古石取证):小众内存分析工具之–Redline