利用内存取证检测高级恶意软件
1. 列出内核模块
在内存取证中,检测恶意软件时常常需要列出内核模块。以下是几种常用的方法:
- 使用
volatility工具的modules和modscan插件
可以使用以下命令查找特定的内核模块,例如查找2b9fb.sys:
$ python vol.py -f necurs.vmem --profile=Win7SP1x86 modules | grep -i 2b9fb.sys $ python vol.py -f necurs.vmem --profile=Win7SP1x86 modscan | grep -i 2b9fb.sys- 使用
driverscan插件driverscan插件从DRIVER_OBJECT结构中获取内核模块的信息。它通过池标签扫描在物理地址空间中查找驱动对象。以下是使用该插件的示例:
$ python vol.py -f necurs.vmem --profile=Win7SP1x86 driverscan输出结果如下: