實(shí)驗(yàn)二內(nèi)存取證一、實(shí)驗(yàn)?zāi)康?、掌握通過(guò)命令指令取證，并熟悉基本的取證信息；了解計(jì)算機(jī)系統(tǒng)取證基本方法，并結(jié)合Sysinternals工具進(jìn)行取證；二、實(shí)驗(yàn)內(nèi)容通過(guò)CMD和Sysinternals工具結(jié)合使用，從計(jì)算機(jī)內(nèi)存中獲得系統(tǒng)當(dāng)前時(shí)間日期，系統(tǒng)信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等內(nèi)存信息。通過(guò)volati三、實(shí)驗(yàn)步驟下載sysinternals工具/zh-cn/sysinternals/；開(kāi)始——運(yùn)行——鍵入“cmd”——結(jié)合sysinternals工具對(duì)系統(tǒng)進(jìn)行取證。四、實(shí)驗(yàn)操作內(nèi)容（一）、實(shí)驗(yàn)指導(dǎo)書(shū)部分1、輸入date/t取證系統(tǒng)當(dāng)前的日期輸入time/t獲取系統(tǒng)當(dāng)前時(shí)間圖2-12、利用取證軟件里面的應(yīng)用PsPasswd，可以進(jìn)行賬戶(hù)密碼等修改圖2-23、PsInfo 用于收集有關(guān)本地或遠(yuǎn)程WindowsNT/2000系統(tǒng)的關(guān)鍵信息，包括安裝類(lèi)型、內(nèi)核生成、已注冊(cè)的組織和所有者、處理器數(shù)量及其類(lèi)型、物理內(nèi)存量、系統(tǒng)的安裝日期，以及是否為試用版。 用法：psinfo[[\\computer[，computer[,..]|@file[-u用戶(hù)[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]篩選器圖2-34、Autoruns 查看在系統(tǒng)啟動(dòng)并登錄時(shí)，哪些程序被配置為自動(dòng)啟動(dòng)。Autoruns.exe還顯示了應(yīng)用程序可在其中配置自動(dòng)啟動(dòng)設(shè)置的注冊(cè)表和文件位置的完整列表。由于我是在虛擬機(jī)中進(jìn)行的實(shí)驗(yàn)，所以有VMware軟件。圖2-45、Handle這一方便的命令行實(shí)用程序?qū)⑾蚰泔@示哪些進(jìn)程打開(kāi)了哪些文件，可以看到程序自身的打開(kāi)文件對(duì)的信息，將存放的桌面文件夾09193408打開(kāi)了。圖2-56、ListDLLs是一種實(shí)用程序，用于報(bào)告加載到進(jìn)程中的Dll。可以使用它來(lái)列出加載到所有進(jìn)程中的所有Dll、特定進(jìn)程或列出已加載特定DLL的進(jìn)程。可以看到程序OneDrive.exe所加載的動(dòng)態(tài)鏈接庫(kù)，如下圖所示。圖2-67、ipconfig一般用來(lái)檢驗(yàn)人工配置的TCP/IP設(shè)置是否正確,可以看到主機(jī)的ip為34，默認(rèn)網(wǎng)關(guān)為圖2-78、nbtstat 用于查看在TCP/IP協(xié)議之上運(yùn)行NetBIOS服務(wù)的統(tǒng)計(jì)數(shù)據(jù)，并可以查看本地遠(yuǎn)程計(jì)算機(jī)上的NetBIOS名稱(chēng)列表圖2-89、SC是用來(lái)與服務(wù)控制管理器和服務(wù)進(jìn)行通信的命令行程序。使用scquery命令枚舉活動(dòng)服務(wù)和驅(qū)動(dòng)程序的狀態(tài)，設(shè)備OneSyncSvc_54fab活動(dòng)服務(wù)和驅(qū)動(dòng)程序狀態(tài)如下圖所示：圖2-910、PsGetSid——顯示電腦或使用者的SID，可以看到當(dāng)前實(shí)驗(yàn)電腦的SID為：S-1-5-21-1491202311-4167021982-3056694813圖2-1011、PsInfo——取得有關(guān)系統(tǒng)的資訊，可以看到內(nèi)核版本為：Windows10HomeChina,MultiprocessorFree圖2-1112、PsList——顯示處理程序和執(zhí)行緒的相關(guān)資訊，使用命令Pslist-t將進(jìn)程的信息以樹(shù)形打印出來(lái)，可以看到進(jìn)程medge的Pid號(hào)為2148圖2-1213、PsKill——終止本機(jī)或遠(yuǎn)端處理程序，利用次命令關(guān)閉上一步查詢(xún)到的medge進(jìn)行，輸入命令pskill2148.進(jìn)程成功被關(guān)閉，在界面上瀏覽器也成功被關(guān)閉。圖2-1314、PsLoggedOn——顯示使用者登錄至一個(gè)系統(tǒng)，可以看到用戶(hù)上一次的登錄時(shí)間為4/1814：22：56圖2-1415、PsService是用于Windows的服務(wù)查看器和控制器。與WindowsNT和Windows2000資源工具包中包含的SC實(shí)用工具一樣，PsService顯示服務(wù)的狀態(tài)、配置和依賴(lài)項(xiàng)，并允許你啟動(dòng)、停止、暫停、恢復(fù)和重新啟動(dòng)服務(wù)。圖2-1516、PsLogList允許您在當(dāng)前安全憑據(jù)集不允許訪(fǎng)問(wèn)事件日志的情況下登錄到遠(yuǎn)程系統(tǒng)，PsLogList從所查看的事件日志所在的計(jì)算機(jī)中檢索消息字符串。圖2-1617、PsShutdown——關(guān)機(jī)及選擇重新啟動(dòng)電腦，可以看到該程序有許多參數(shù)可以使用，如下所示。圖2-1718、PsSuspend使你可以?huà)炱鸨镜鼗蜻h(yuǎn)程系統(tǒng)上的進(jìn)程，這在進(jìn)程使用資源(例如網(wǎng)絡(luò)、CPU或磁盤(pán))你要允許不同進(jìn)程使用的情況下是必需的。掛起操作允許在稍后某個(gè)時(shí)間點(diǎn)繼續(xù)操作，而不是終止占用資源的進(jìn)程。先查詢(xún)某個(gè)進(jìn)程的Pid，然后使用該命令掛起。如下所示，掛起一個(gè)瀏覽器：圖2-18執(zhí)行之后，效果如下，然后瀏覽器怎么點(diǎn)擊都沒(méi)用。圖2-1919、PsFile是一個(gè)命令行實(shí)用工具，用于顯示系統(tǒng)上遠(yuǎn)程打開(kāi)的文件的列表，還允許你按名稱(chēng)或文件標(biāo)識(shí)符關(guān)閉打開(kāi)的文件。這里由于我電腦上沒(méi)有遠(yuǎn)程打開(kāi)的文件，所以啥也沒(méi)有。圖2-2020、Strings——掃描傳遞文件的UNICODE(或ASCII)默認(rèn)長(zhǎng)度為3個(gè)或多個(gè)UNICODE(或ASCII)字符串。其使用方法和參數(shù)如下所示。圖2-2121、arp可以用此命令查看主機(jī)中的arp綁定信息。使用命令arp-a，信息顯示如下圖，可以看到ip為:的主機(jī)arp地址為00-50-56-ea-f0-ec，類(lèi)型為動(dòng)態(tài)綁定的。圖2-22（二）、實(shí)驗(yàn)指導(dǎo)書(shū)外部分—Sysinternals1、ClockRes知道應(yīng)用程序可以獲得的系統(tǒng)時(shí)鐘的分辨率，或者可能會(huì)獲得最大的計(jì)時(shí)器分辨率,可以看到最大值為15.625ms，最小值為0.500ms,當(dāng)前值為15.625ms圖2-232、Coreinfo顯示邏輯處理器與它們所在的物理處理器、NUMA節(jié)點(diǎn)和插槽之間的映射，以及分配給每個(gè)邏輯處理器的緩存。圖2-243、LoadOrder 顯示2000WindowsNT或Windows加載設(shè)備驅(qū)動(dòng)程序的順序。圖2-254、VMMap是一個(gè)進(jìn)程虛擬和物理內(nèi)存分析實(shí)用程序。它顯示了進(jìn)程的已提交虛擬內(nèi)存類(lèi)型的細(xì)分，以及操作系統(tǒng)為這些類(lèi)型分配的物理內(nèi)存量(工作集)。除了內(nèi)存使用量的圖形化表示形式以外，VMMap還會(huì)顯示摘要信息和詳細(xì)的進(jìn)程內(nèi)存映射。可以看到進(jìn)程ApplicationFrameHost.exe的信息結(jié)果如下圖所示，總使用大小為215920256k,堆的使用大小為11636k，其他的信息如下圖所示。圖2-265、Adrestore這一簡(jiǎn)單的命令行實(shí)用工具枚舉域中的已刪除對(duì)象，并允許你選擇還原每個(gè)對(duì)象。由于我的域中沒(méi)有已刪除對(duì)象，所以顯示結(jié)果如下圖所示圖2-276、whois為指定的域名或IP地址執(zhí)行查看注冊(cè)記錄。使用命令whois，可以看到服務(wù)器更新日期為：2022-01-25T09:00:46Z，創(chuàng)建時(shí)間為：1999-10-11T11:05:17Z圖2-287、TcpView它將顯示系統(tǒng)上所有TCP和UDP終結(jié)點(diǎn)的詳細(xì)列表，包括tcp連接的本地和遠(yuǎn)程地址和狀態(tài)。可以看到進(jìn)程system的進(jìn)程id號(hào)為4，處于監(jiān)聽(tīng)狀態(tài)，本地地址為34，端口為139圖2-29（三）、實(shí)驗(yàn)指導(dǎo)書(shū)外部分—Volatility1、volatility_2.6_win64_standalone.exe-f09193408.vmemimageinfo輸入次命令查看內(nèi)存鏡像的信息，如下圖所示：圖2-30 可以看到看到鏡像的系統(tǒng)最為可能是win7系統(tǒng)的文件，創(chuàng)建時(shí)間為2019-06-10.2、猜測(cè)其系統(tǒng)類(lèi)型，并調(diào)出其shell命令，使用如下命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64volshell，如果該系統(tǒng)鏡像就是Win7SP1x64系統(tǒng)的，則調(diào)出shell命令，如下圖所示：圖2-313、volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64pslist列舉其進(jìn)程的信息，如下圖所示，可以看到其進(jìn)程的相關(guān)信息，如System的PID為4，線(xiàn)程個(gè)數(shù)為89,句柄為497個(gè)，運(yùn)行時(shí)期為2019-06-0704:39:30。圖2-32 也可以使用參數(shù)psscan，該參數(shù)獲得的隱藏進(jìn)程的信息，可以用來(lái)掃描病毒，如下圖所示，可以看到掃出一些pslist沒(méi)有掃出的進(jìn)程。圖2-334、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64dlllist該命令可以查看進(jìn)程所用到的動(dòng)態(tài)鏈接庫(kù)如下圖所示，可以看到進(jìn)程schost所需要的動(dòng)態(tài)鏈接庫(kù)。圖2-34 5、使用volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64hivelist該命令查看內(nèi)存中的注冊(cè)表相關(guān)信息，如下圖所示圖2-34 6、將參數(shù)改為printkey-K“SAM\Domains\Account\Users\Names”查看SAM中的用戶(hù)，如下圖所示，可以發(fā)現(xiàn)有3個(gè)用戶(hù)：“admin、AdministratorGuest”圖2-357、將參數(shù)改為 printkey-K“SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”查看最后登錄系統(tǒng)的用戶(hù)，可以發(fā)現(xiàn)最后登錄的是admin圖2-368、輸入命令查看開(kāi)啟的服務(wù)信息： volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64svcscan，如下圖所示，可以看到WudfPf、wuausev、VMnetDHCP三個(gè)服務(wù)的信息，路徑、進(jìn)程id等。圖2-379、使用命令：volatility_2.6_win64_standalone.exe-f09193408.vmem--profile=Win7SP1x64filescan查看內(nèi)存中可能保存的文件如下圖所示，可以看到各個(gè)文件的相應(yīng)權(quán)限和所在位置。圖2-3810、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64privs查看進(jìn)程的權(quán)限，如下圖所示，可以看到系統(tǒng)進(jìn)程創(chuàng)建和分發(fā)令牌等權(quán)限圖2-3911、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64printkey 查看注冊(cè)表的鍵和子鍵等信息。如下圖可以發(fā)現(xiàn)名為“SOFTWARE”的注冊(cè)表的主鍵為“CMI-CreateHive{199DAFC2-6F16-4946-BF90-5A3FC3A60902}(S)”其子建也如下圖所示圖2-4012、使用命令：volatility.exe-f09193408.vmem--profile=Win7SP1x64messagehooks展示桌面和線(xiàn)程窗口消息的掛鉤圖2-4113、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mftparser掃描并解析mft表的信息，可以發(fā)現(xiàn)第一個(gè)解析出來(lái)的mft記錄項(xiàng)的信息，其記錄號(hào)為4408，引用個(gè)數(shù)為2，標(biāo)準(zhǔn)信息等也可從下圖知道。圖2-4214、使用命令： volatility.exe-f09193408.vmem--profile=Win7SP1x64mbrparser掃描并解析mbr表的信息，結(jié)