取证与应急响应
内存取证
别称: RAM 取证, 易失性内存分析
定义
获取并分析系统易失性 RAM 的取证学科,用以揭示运行进程、网络连接、注入代码及内存中的痕迹。
内存取证关注断电即逝的易失性数据,可揭露磁盘取证无法触及的证据:仅驻留内存的恶意软件、解包后的载荷、加密密钥、浏览器会话、明文凭据以及 rootkit 的隐藏手法。采集工具包括 WinPmem、DumpIt、AVML 与虚拟化平台快照,产生原始转储或 VMware vmem 文件。Volatility 3、Rekall 等分析框架解析操作系统结构,枚举进程、DLL、网络套接字、注册表配置单元与代码注入。在无文件恶意软件与 APT 调查中至关重要,在符合 NIST SP 800-86 的 DFIR 流程中与磁盘和网络取证互为补充。
示例
- 使用 Volatility 3 的 malfind 插件检测内存映像中的注入 shellcode。
- 从 Windows 内存转储中恢复攻击者执行 Mimikatz 留下的输出。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
Malware Analysis
Malware Analysis — definition coming soon.
磁盘取证
对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
Evidence Acquisition
Evidence Acquisition — definition coming soon.