Windows环境下的易失性数据取证

易失性数据取证

1. 定义：开机状态下，一个目标系统包含能够反映系统状态的关键而短暂的信息。

2. 范围： 恶意进程的内存空间，口令，IP地址，安全事件日志条目。

3. 概念：事件响应取证，实时响应取证

4. 总体思想：

   1. 建立实时响应工具包

   2. 确定和记录工具的依赖性：将工具装载到像Dependency Walker或者PEView之中

   4. 存储介质：

      1. 本地：CD，U盘，外部硬盘

      2. 远程：netcat或者cryptcat监听器

   5. 系统完整性监控软件：Winalysis或 InstallSpy，用于监听系统发生了那些变化

   6. 其他监听工具：FileMon，RegMon，Proces Monitor

5. 收集方法：

   1. 首先对目标系统的整个内存转储进行获取

   2. 在可能受害的目标主机上，从事件响应工具箱中运行可信赖的命令行Shell

   3. 记录系统日期和时间，并且将其余可靠的时间源进行比较

   4. 获取物理内存的内容

   5. 搜集主机名，用户名和操作系统的细节

   6. 搜集系统状态和环境的细节

   7. 识别登录到当前系统的用户

   8. 检查 络连接和开放的端口

   9. 检查域名服务器查询记录以及与本地建立连接的主机的名称

   10. 检查运行 中的进程

   11. 检查与进程和程序关联的开放端口

   12. 检查服务和驱动

   13. 检查已经打开的文件

   14. 检查命令行的历史命令

   15. 确定被映射的驱动器和共享目录

   16. 使用Windows的net命令检查非授权的账户和组，共享以及其他系统资源和配置

   17. 确定已存在的计划任务

   18. 搜集剪贴板的内容

   19. 确定审计策略

6. Windows系统收集易失性数据

   1. 获取进程信息： PsTools套件使用：

      下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

      然后将解压后的pslist.exe复制到C:WindowsSystem32文件夹下。

       pslist 进程名 或pslist -dmx pid 查看具体某个进程的具体信息

   2. 从实时Windows系统中获取整个内存：

      Helix事件响应中dd程序：不支持Windows Server 2003 SP1 及更高版本

      Nigilant32 ：图形用户界面获得物理内存镜像

      远程取证工具：ProDiscoverIR(要求远程运行servlet程序)，OnlineDFS, LiveWire（要求具有管理员权限）

   3. 系统时间和日期：命令行： date /t time /t

   4. 系统标识符：命令行： hostname 或 whoami 和 ver

      ipconfig /all 显示目标系统的IP地址，系统用户名， 络子 掩码，DNS服务器等信息

   5. 络配置：查看 卡是否处于混杂模式下：命令行 ipconfig /all

      工具：Promiscdetect以及Promqry

   6. 被激活的协议：工具：URLProtocolView

   7. 系统正常运行时间：PsTools套件中插件：psinfo 中的uptime显示系统正常运行时间。

   8. 识别登录到当前系统的用户：（用户名，登录位置，登录Session，用户访问的共享文件，和该用户有关的进程，该用户引起的 络活动）

      工具：PsTools套件使用中Psloggedon和logonSessions

   9. 检查 络连接和活动：netstat -ano

   10. 来自主机系统的DNS查询：ipconfig /displaydns

   11. 检查NetBIOS连接：nbtstat命令 -c 显示缓存中的远程主机名和Ip地址，-S 和 net sessions 来确认当前的BIOSSession

       net file 命令，显示最近通过BIOS进行传输的文件名称。

   12. 检查ARP缓存：为了寻找其他被渗透主机的信息，arp -a命令

   13. 搜集进程信息：

       1. 进程名和进程标识符：tlist

       2. 临时上下文：pslist 中 Elapsed Time 表示进程运行的时间

       3. 进程内存使用情况：tasklist

       4. 进程镜像的全系统路径：pv -e

          下载地址：http://www.majorgeeks.com/files/details/process_viewer_for_windows_(prcview).html

       5. 检查程序所属用户：tasklist -v

       6. 检查子进程：pslist -t

       7. 检查启动进程的命令行：pv -l

       8. 检查进程的动态链接库：pv -m

   14. 搜集服务信息：

       1. tasklist /svc 查看粗略服务信息

       2. psservice 查看更详细的服务信息

   15. 检查打开的文件

       1. 识别本地打开的文件：工具：OpenFilesView

       2. 识别远程打开的文件：net file 或者psfile

   16. 收集命令的历史记录：doskey /history

   17. 检查计划任务： 工具：at 命令或者schtasks工具

   18. 收集剪贴板内容：pclip 命令 或者InsideClipboard

       pclip下载地址：https://sourceforge.net/projects/unxutils/