应用LeechAgent对长途物理内存举行取证剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

应用LeechAgent对长途物理内存举行取证剖析

申博_新闻事件 申博 133次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

LeechAgent是一个100%免费的开源端点取证解决方案,适用于对运动目次情况中的Windows端点举行长途物理内存的取证与剖析。

LeechAgent供应了一种简朴、高性能且平安的体式格局来长途接见和查询体系物理内存(RAM)。运用MemProcFS挂载长途内存时,就像经由历程点击体式格局操纵一般文件一样简朴,因而,它异常合适用于疾速的挑选分类。另外,运用PCILeech的话,我们还能够经由历程收集来转储内存。经由历程向长途主机提交剖析剧本,我们能够经由历程MemProcFS Python API来查询物理内存!而且,上述一切操纵能够同时举行。

物理内存剖析有很多长处,最重要的一点是,剖析目的体系所用的API是自力的,也就是说,纵然目的体系上的体系API已受到破坏,对我们的影响也不大。

下面的视频演示了在长途盘算机上装置LeechAgent效劳,运用它来装置MemProcFS,转储物理内存和经由历程MemProcFS API将Python剖析剧本提交到长途LeechAgent的细致历程。寓目视频以后,您就会晓得这个历程到底有何等的轻松了。

演示视频地点:https://youtu.be/UIsNWJ5KTvQ。

LeechAgent不只供应了须要的平安性,而且用起来也异常简朴。实际上,LeechAgent的平安性是建立在Windows内建功用的基础上的,而且详细完成对用户来讲是通明的。它只许可治理员用户举行衔接,而且,不存在其他身份考证机制。而LeechAgent的简朴性意味着,运用历程中,我们无需建立用户,设置装备摆设证书或设置身份考证机制。为了确保平安性,所需的一切都已为我们预备妥当了,无需任何设置装备摆设!

LeechAgent的用法

LeechAgent许可10个客户端同时衔接,长途猎取物理内存,以Python剖析剧本的情势实行代码,并可接见MemProcFS API。我们运用敕令行PCILeech或基于文件体系的MemProcFS,从运转LeechAgent的长途盘算机转储物理内存。然后,运用MemProcFS文件体系和/或API来疾速剖析长途盘算机的内存。

应用LeechAgent对长途物理内存举行取证剖析

然后,经由历程MemProcFS将长途盘算机的物理内存挂载为文件体系,如许,我们就可以够运用本身喜好的对象来疾速轻松地接见长途物理内存了。

从运转LeechAgent的长途盘算机猎取内存,纵然在具有中等带宽、中等耽误的收集衔接上,它也能很好地事情。若是须要的话,我们也能够直接在长途盘算机上运转接见MemProcFS API的Python内存剖析剧本。在这类情况下,LeechAgent会在收到剧本后自动天生嵌入式Python情况,并实行剧本。Python剖析剧本永久不会“打仗”目的体系上的磁盘。

这类要领有很多长处。重要长处是,我们能够在长途体系上当地接见物理内存——完整消弭带宽和耽误题目,这一特性使其成为物理内存剖析的抱负挑选,纵然在低带宽和高耽误收集上也是云云。另外,由于事情负载转移到LeechAgent剧本,因而,能够在大批主机上同时运转,比方在事宜响应情况中。

有关MemProcFS Python API的更多信息,请参阅MemProcFS wiki页面。

假定您有一个Python剧本,它经由历程剖析物理内存来查找用户形式应用程序中的读写实行局部。这在剖析某些范例的歹意软件的时刻能够异常有效的。请注重,在某些情况下,rwx局部也能够存在于正当的应用程序中。

剧本检索一切历程的历程信息,然后遍历一切历程,并将经由历程遍历CPU页表来检索其内存映照。

应用LeechAgent对长途物理内存举行取证剖析

示例Python剧本运用VmmPy MemProcFS API来剖析内存。

用PCILeech将Python内存剖析剧本提交给长途LeechAgent并守候剖析效果。LeechAgent将捕捉经由历程提交的剖析剧本写入掌握台的一切输出内容。

应用LeechAgent对长途物理内存举行取证剖析

将剖析剧本提交给长途LeechAgent并守候剖析效果。

若是剖析剧本失足,比方,若是碰到死循环,那末将在两分钟后自动中断。在极少数情况下,能够断开一切客户端与长途LeechAgent的衔接并守候几分钟,如许就可以消灭一切有题目的功课。

装置LeechAgent

LeechAgent能够支撑32位和64位Windows体系。实际上,虽然32位版本同时适用于32位和64位体系,但在受限形式下,它没法在长途主机上处置惩罚内存剖析剧本。因而,我们强烈建议运用64位Leechagent!

装置LeechAgent时,能够从Github上的LeechCore存储库下载响应的装置包。个中,LeechAgent的64位版本位于LeechCore/file/agent/x64中。须要注重的是,LeechAgent的剖析剧本依靠于Python,内存转储依靠于WinPMEM。若是在交互(非效劳)形式下运转,DumpIt也能够用于内存转储。

依靠项:

· Python:从python.org下载Windows x86-64可嵌入的zip文件,并将其内容解紧缩到LeechAgent\Python子目次中。

· WinPMem:从Github下载署名的64位驱动程序,并将其放到leechagent.exe地点的LeechAgent文件夹中。

目的体系请求:

域渗入技能:MachineAccountQuota的应用

MachineAccountQuota(MAQ)是一个域级别的属性,默认情况下允许非特权用户将最多10台计算机连接到Active Directory(AD)域。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算

· Windows 7或更高版本。

· 位数请求——没法在32位体系上装置64位版本的LeechAgent。

· 运动目次情况:当作为效劳装置时,才有该请求。(在实验室情况中,能够在未经身份考证的不平安形式下实行LeechAgent,该形式不依靠于运动目次举行身份考证)。

· 治理员接见权限:运转LeechAgent装置包的用户必需具有长途盘算机的治理员权限。若是在localhost上装置,则用户必需是高等治理员。

· 文件同享——装置时:须要接见C$治理文件同享。

· 防火墙开放——装置时:只需装置便可接见效劳掌握治理器(SCM)和文件同享。

· 防火墙开放——运用时:须要接见LeechAgent或tcp/28473。

应用LeechAgent对长途物理内存举行取证剖析

引荐为长途LeechAgent装置运用的Windows防火墙划定规矩。

应用LeechAgent对长途物理内存举行取证剖析

LeechAgent终端的Windows防火墙划定规矩–tcp/28473。

装置要领

装置历程异常简朴,只需运转以下敕令便可:

LeechAgent.exe -remoteinstall <remote_computer_name>

LeechAgent及其依靠项将被复制到长途主机的Program Files\LeechAgent目次中。若是想要卸载的话,能够运用-remoteuninstall敕令。

平安和身份考证

LeechAgent的重要设想目的是统筹简朴性和平安性。

LeechAgent完整依靠于Windows内置的Kerberos身份考证功用对衔接客户端举行响应的考证。而且,只许可具有运转LeechAgent的盘算机上得治理权限的长途用户举行衔接。除此之外,在默许情况下,还须要衔接客户端供应运转LeechAgent的用户的Kerberos SPN来考证LeechAgent的真实性。这一般就是运动目次中的盘算机帐户。

应用LeechAgent对长途物理内存举行取证剖析

衔接客户端时,在长途LeechAgent用户和客户端之间举行互相考证,有助于进一步进步其平安性。

客户端和长途LeechAgent之间的RPC衔接,不只借助互相的Kerberos认证来供应珍爱,同时,用于加密的Windows内置功用也是基于Kerberos体系的。若是客户端和效劳器都运转在Windows 10上的话,则衔接也举行响应的紧缩处置惩罚。

衔接客户端时,这一事宜将被记录到运转LeechAgent的盘算机上的应用程序事宜日记中。

应用LeechAgent对长途物理内存举行取证剖析

衔接用户[email protected]时,该事宜将被LeechAgent记录到应用程序事宜日记中。

须要注重的是,LeechAgent不只许可经由身份考证的长途治理员接见物理内存,还许可其以SYSTEM权限在运转LeechAgent的盘算机上实行恣意代码。实际上,这么做是有意而为之的,由于只许可治理员衔接,以是,这不会组成一个平安题目。

还须要注重的是,在交互形式下运转LeechAgent,无需任何情势的身份考证。我们其实不引荐这类做法,这仅仅适用于在平安的实验室情况中运用。

未来瞻望

关于LeechAgent来讲,我们的重要的设想目的就是统筹平安性与易用性。因而,在不久的未来,不太能够增加更多的身份考证机制或支撑更多的操纵体系。就现在而言,基于Kerberos的内置Windows身份考证就够用了。

关于MemProcFS Python API,虽然它的速率很快,功用也很壮大,但仍然存在很多局限性。以是,我们不只要继承开辟新的API功用,同时,还要扩大本来的API功用。

另外,我们还会对内存转储做进一步优化。

只管MemProcFS Python API的速率已很快,只重要得益于底层的多线程本机C剖析库的运转速率,但仍有革新的空间,以是,我们将继承对其性能做进一步的优化。

从入侵到变现——“黑洞”下的黑帽SEO分析

概述 由于互联网入口流量主要被搜索引擎占据,网站在搜索引擎中的排名直接影响到市场营销效果,因此SEO服务应运而生。SEO(Search Engine Optimization)全称为搜索引擎优化,是指利用搜索引擎的规则提高网站在相关搜索引擎内的自然排名。S


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明应用LeechAgent对长途物理内存举行取证剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址