2018年04月20日 星期五

內存取證:查找Metasploit的Meterpreter踪跡

Metasploit是一個非常受歡迎的滲透測試框架,被視為安全測試人員手中的一把利器。但在另一方面由於他過於強大,因此也常常被一些惡意攻擊者所利用。當然,在本文我們主要討論的是關於內存取證,這對於我們來說是至關重要的。因為我們(受害者)的機器極有可能會被惡意攻擊者,注入Meterpreter(一種先進的,可動態擴展的Metasploit有效載荷),這是一種完全駐留在內存中的shell,並且不會向受害者的驅動器寫入任何內容。

下面,我將向你展示如何使用取證框架Volatility來找出Metasploit的蛛絲馬跡。

在分析內存鏡像時,首先我們應該收集有關操作系統的信息,以選擇正確的Volatility配置文件。最佳做法是在內存鏡像時記錄系統版本,因為Volatility檢測結果可能會有誤。如果你是從第三方獲得的鏡像並且版本未知,那麼我建議你使用imageinfo插件:

內存取證:查找Metasploit的Meterpreter踪跡


更多資訊,請查看原文:

mailto:http://www.freebuf.com/sectool/168218.html

2018年04月20日 星期五