Ref The Art of Memory Forensics SANS 508 - - PowerPoint PPT Presentation

هظفاح شاتکف

یلضفت لبط

یلاعت همسب

Ref The Art of Memory Forensics SANS 508

هظفاح شاتکف ارچ

• همهزیچردمتسیسلماعزاهظفاحیمدرذگ.
• سسورپاهواهنامسیر
• رازفادب
• یاهتکوس،هکبش

URLاهویاهسردآ IP

• یاهلیافزاب
• یاوتحمدیلوتهدشطسوتربراک
• تاملک،روبع

cache ، clipboard

• یاهدیلکیراگنزمر
• یدنبرکیپتخسرازفاومرنرازفا
• یاهدیلکیرتسیجرزودنیووگلباهدادیور

نردم متسیس کی راتخاس

یهد سردآ یاضف

• یاضفسردآ
• یاضفسردآیطخاییاضفسردآیزاجم:یاضفسردآهتسویپهکهبهمانربلاحردارجاداده

یمدوش.

• یاضفسردآیکیزیف:ییاهسردآهکهدنزادرپیاربیسرتسدهبهظفاحیکیزیفساوخردتیم

دنک.

هظفاح زا یروآ عمج Memory ry Acquisition

• عمجیروآزاهظفاحهیوریپکیاوتحمهظفاحیکیزیفهبهاگتسدهریخذیزاسرگیدیاربحظفیم

دشاب.

• لئاسمردعمجیروآزاهظفاح:
• یسرتسدهبهدادیاههریخذهدشردهظفاحیکیزیف
• نتشونهدادرددصقم

یروآ عمج رب یرورم

Crash dump in windows

• Control

Panel>System>Advanced System Settings>Startup and Recovery>Settings

Crash dump Registry ry

• HKLM\SYSTEM\CurrentControlSet\Control\CrashControl\LastCrashTime

PCIe add on

WindowsSCOPE Phantom Probe USB Dongle

Device Memory ry

ارجا لاح رد متسیس زا هظفاح یپک

• یاربتسدبندروآتیعضویلعفهظفاح،راگدنامانزوجم

adminدرومزاینتسا.

• همهیاهرازبامرنیرازفاعمجیروآهظفاحزاکیلکتورپیاربعمجیروآهدادزاهظفاحهدافتسا

یمدنیامن.

• نیااهرازبالوژاملنرکاریراذگرابیمدننکهکیاهسردآیکیزیفدرومرظنارهبیاضفسردآ

یزاجمیکیزا taskییاههکربیوررتویپماکارجایم،دوشیمدنراگن.

• زانیا،اضفاهنیایمدنناوتهبهدادیسرتسددنبایبوارنآهبهناسرراگدناملقتنمننکد.
• یخربزااهرازبا

Device-Memoryاریپکیمدننکویخربرگیدنیاهیحاناریپکیمندننک.

یزاجم نیشام هظفاح یروآ عمج

• لیاف.vmem
• ریوصتیلماکزاهظفاحارردنیالیافهگنیمدراد.

Volatility Plugins

Plugin Format crashinfo Crash dump hibinfo Hibernation File vmwareinfo VMware

لیاف زیلانآ hiberfil.sys

• ردنیالیافکییپکهدرشفزا

RAMردنامز hibernationهریخذیمدوش.

• یخربزااهرازبایاربجراخندرکنآزاتلاحهدرشف
• Volatility imagecopy
• Comae hibr2bin.exe
• Arsenal Hibernation Recon
• ریاساهرازبایاربلیلحت
• BulkExtractor
• Internet Evidence Finder
• Volatility

Commands

• mmls "C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase

Evidence E01 Files\Quantum1.E01"

• fls -f ntfs -o 830592

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01"

• fls -f ntfs -o 830592

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" | findstr page

• icat -o 830592

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" 24 > pagefile.sys

Commands

quering the registry for a profile

• fls -f ntfs -o 830592 -rp

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" | findstr -i config/SYSTEM$

• fls -f ntfs -o 830592 -rp

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" | findstr -i config/SOFTWARE$

• icat -f ntfs -o 830592

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" 2502 > SYSTEM

• icat -f ntfs -o 830592

"C:\Users\tala\Desktop\Encase\Encase_Evidence_E01_Files\Encase Evidence E01 Files\Quantum1.E01" 2667 > SOFTWARE

• .\reglookup-win32-1.0.1\reglookup-win32-1.0.1\reglookup -p "Microsoft\Windows

NT\CurrentVersion" software

Volatility

• Volatility –h
• Volatility handles –h
• volatility_2.6_win64_standalone.exe -f WindowsVista_0401.vmem imageinfo
• volatility_2.6_win64_standalone.exe -f WindowsVista_0401.vmem kdbgscan
• volatility_2.6_win64_standalone.exe
• f

WindowsVista_0401.vmem

• profile=VistaSP1x86 pslist

Volatility imageinfo

Volatility Profile

Windows Objects

• شخبهدمعیازاشاتکفهظفاحریگردردادیپندرکولیلحتءایشاییارجاتسا.
• هبنیاءایشا

executive objectsیمدنیوگاریزطسوت Windows Object Managerتیریدم یمدنوش–یئزجزالنرک.

• همه

executive objectاهکی structureیمدنشابیلوهمه structureاهکی executive

• bjectدنتسین.
• ینامزکیراتخاسهب

executive objectلیدبتیمدوشهکزودنیوهبنآیاهردهیفلتخملصتم یمدنکاتییاهسیورسارتیریدمدیامن.

نیرتمهم زا یخرب Windows Objects

Description Structure Object Name

کی instanceزاکیلیافزابهکرگنایامنیسرتسدکی processای لوژاملنرکهبلیافیم،دشابلمتشمرب،اهزوجمهیحانیازاظفاحههک یاوتحملیافردنآهریخذیمدوشومانلیاف.

_FILE_OBJECT File

هظفحمیاهکهباهنامسیرهزاجایمدهدردیاضفسردآیزاجم یصوصخارجادوشو handleییاهارهبعبانمدننام،اهلیافیاهدیلک یرتسیجروهریغهگندراد.

_EPROCESS Process

زا aliaseاهینابیتشپیمدنکهککمکهبتشاگن share pathو یاههاگتسدلباقلمحهبمانویاردیمدیامن. _OBJECT_SYMBOL IC_LINK

SymbolicLink

تاعلبطا contextیتینما(دننامهسانشیتینما( SID )واهزوجم)ار یارب processاهو threadاههگنیمدراد._TOKEN

Token

Description Structure Object Name کیءیشهکرگنایامنتیدوجومیارجایدنبنامزهدشرد کی processوریاس contextطبترمیمدشاب. _ETHREAD Thread کیءیشهکرگنایامنهحفصشیامنتساولماشایشاء ناربراکدننامهرجنپ،اهاهونمو buttonاهیمدشاب. tagDESKTOP Desktop رگنایامنریوصتزایاهرویاردیراذگرابهدشدوملنرکاتس ویواحییاهسردآیاربعباوتیلرتنک Ioتسا. _DRIVER_OBJECT Driver کی instanceزایاهدیلکزابیرتسیجرهکیواح یتاعلبطاهرابردریداقمدیلکوهدادتسا. _CM_KEY_BODY Key

Object Header

• همهعاونا

executive Objectاهیاراد Object Header ( _OBJECT_HEADER )ورفصایرتشیب headerیباختنادنتسه.

• Object headerهلصافلببشیپزا
• bject structureردهظفاحرارقیمدریگ.
• همه

headerیاهیباختنالبقزا

• bject headerردکیبیترتتباثرارقیمدنریگ.

• volatility_2.6_win64_standalone.exe
• f

WindowsVista_0401.vmem

• profile=VistaSP1x86 objtypescan

Kernel Pool Allocations

• Kernel poolهدودحمیازاهظفاحتساهکیمدناوتهبیاهکولبیرتکچوکمیسقتدوشاترهعون

هدادطوبرمهبیاهاضاقتءازجا Kernel Modeاررددوخهریخذدیامن(دنناملوژام NT ، device driver ) .

• رهکولبصیصختهتفاییاراد

headerیتسا( POOL HEADER )هکیواحتاعلبطاگابیدو یسرباسحتسا.

• لنرکزودنیویواح

memory poolیاهابزیاسریغتمییایوپتساهکیاربصیصختهظفاح متسیسراکبیمدور.

• ودعون

memory poolدوجودراد:

• Non-paged pool
• Paged pool
• تیرثکایاهراتخاسلنرکهبتروص

non-pagedدنتسه.

Selected non-paged pool allocations

Executive objects within a pool

Pool Header Data Structures

• BlockSize: The total size of the allocation, including the pool header, object

header, and any optional headers.

• PoolType: The type of system memory (paged, nonpaged, etc.) for which this

pool header describes.

• PoolTag: A four-byte value, typically composed of ASCII characters that should

uniquely identify the code path taken to produce the allocation

Allocation APIs

• شیپزاهکنآرد،زودنیوکیهنومن(

instance )زاکی executive objectداجیا،دوشکیکولبزا هظفاحهکهبردقیفاکگرزب،دشابیاربهریخذیزاس

• bjectو

headerشیاهردیکیزا poolیاهمتسیسلماعدیابصیصختدبای.

لاثم

Assuming that a process wants to create a new file using the Windows API, the following steps will occur:

• 1. The process calls CreateFileA (ASCII) or CreateFileW (Unicode)—both are exported by

kernel32.dll.

• 2. The create file APIs lead into ntdll.dll, which subsequently calls into the kernel and

reaches the native NtCreateFile function.

• 3. NtCreateFile will call ObCreateObject to request a new File object type.
• 4. ObCreateObject calculates the size of _FILE_OBJECT, including the extra space needed

for its optional headers.

• 5. ObCreateObject finds the _OBJECT_TYPE structure for File objects and determines

whether to allocate paged or nonpaged memory, as well as the four-byte tag to use.

• 6. ExAllocatePoolWithTag is called with the appropriate size, memory type, and tag.

Deallocation

• هکینامززا

executive objectرگیدهدافتسا،دوشنکولبهظفاحهبتسیلدازآ poolربیم،ددرگ ویمدناوتیاربفراصمرگیداددجمصیصختدبای.

Pool Tag Scanning

• هبدنیارفادیپندرکاهصیصخت(

allocations ) ، pool tag scanningیمدنیوگ.

• ردیط

pool tag scanning ،عورشوجتسجردهظفاحابراهچتیاب tagیمدشاب.هبکمکزیاس صیصختوعونهظفاحنیاوجتسجیشرافسرتیمدوش.

• یاههاریرگیدزینیاربنکسادوجودراد.
• لبثمیمناوتیلبمسزالنرکارهکهبزاغآکنیلتسیللاعف

processهراشایم،دنکادیپ درک.

Pool Tag Data Used by Existing Volatility Plugins for Windows XP to 7

Pool Tracker Tables

• Pool Tracker Tableهبرههیارآزاراتخاس_POOL_TRACKER_TABLEهراشایم،دیامنهک

یاربره Pool Tagدرومهدافتساراکبیمدور.

Pool Tracker

لاثم

• volatility_2.6_win64_standalone.exe -f

\courseware\WindowsVista_0401.vmem --profile VistaSP1x86 pooltracker -- tags=Proc,Thre,File,Driv

Processes, Handles and Tokens

همدقم

• هسهلحرمهیلواکرتشمردیپییوج

processدنترابعزانییعتهکنآ:

• هچهمانربیاهیدربراکردلاحارجا؟دنتسه
• هچیراکماجنایمدنهد(یسرتسدهب،اهلیافیاهدیلکیرتسیجروهریغ)؟
• هچیاهزوجمیتینماارتسدبهدروآ؟دنا
• دیابنینچمهدراوملیذاردایمیریگب:
• هنوگچ

hidden processاهارفشک؟مییامن

• هنوگچ

processاهارهبیاهباسحیربراکصاخطبترم؟مییامن

Process Object

Process Organization

Analyzing Process Activity

• pslist finds and walks the doubly linked list of processes and prints a summary of

the data. This method typically cannot show you terminated or hidden processes.

• pstree takes the output from pslist and formats it in a tree view, so you can easily

see parent and child relationships.

• psscan scans for _EPROCESS objects instead of relying on the linked list. This

plugin can also find terminated and unlinked (hidden) processes.

• psxview locates processes using alternate process listings, so you can then cross

reference different sources of information and reveal malicious discrepancies.

Process List

هلمح DKOM

• volatility_2.6_win64_standalone.exe
• f

WindowsVista_0401.vmem

• profile=VistaSP1x86 pslist

Critical System Processes

lsass.exe: The local security authority subsystem process is responsible for:

• enforcing the security policy,
• verifying passwords,
• creating access tokens
• it’s often the target of code injection because the plaintext password hashes can

be found in its private memory space.

• one instance of lsass.exe running from the system32 directory.
• its parent is winlogon.exe on pre-Vista machines, and wininit.exe on Vista and

later systems

Critical System Processes

winlogon.exe presents:

• the interactive logon prompt,
• initiates the screen saver when necessary,
• helps load user profiles,
• responds to Secure Attention Sequence (SAS) keyboard operations such as

CTRL+ALT+DEL.

• monitors files and directories for changes on systems that implement Windows

File Protection (WFP).

• System32

Critical System Processes

• explorer.exe
• one Windows Explorer process for each logged-on user.
• It is responsible for
• handling a variety of user interactions such as GUI-based folder

navigation,

• presenting the start menu
• It also has access to sensitive material such as
• the documents you open
• credentials you use to log in to FTP sites via Windows Explorer.

Critical System Processes

• smss.exe
• the first real user-mode process that starts during the boot sequence.
• It is responsible for creating the sessions that isolate OS services from the

various users who may log on via the console or Remote Desktop Protocol (RDP).

Critical System Processes

• Idle and System
• These are not real processes (in the sense that they have no corresponding

executable on disk).

• Idle is just a container that the kernel uses to charge CPU time for idle

threads.

• System serves as the default home for threads that run in kernel mode. Thus,

the System process (PID 4) appears to own any sockets or handles to files that kernel modules open.

Critical System Processes

• csrss.exe
• The client/server runtime subsystem
• plays a role in creating and deleting processes and threads.
• On systems before Windows 7, this process also served as the broker of

commands executed via cmd.exe, so you can extract command history from its memory space.

• multiple CSRSS processes because each session gets a dedicated copy;
• attempts to exploit the naming convention (csrsss.exe or cssrs.exe).
• The real one is located in the system32 directory.

Critical System Processes

• services.exe
• it manages Windows services and maintains a list of such services in its

private memory space.

• There should be only one copy of services.exe on a system.
• svchost.exe
• A clean system has multiple shared host processes running concurrently, each

providing a container for DLLs that implement services

Directory Parent Process Process System32 Winlogon.exe, wininit.exe Services.exe System32 Services.exe Svchost.exe Services.exe spoolsv.exe Services.exe SearchIndexer.exe

Id Identify fy Rouge Processes

• FIRST 2009 vm
• Python volatility psscan /samples/exemplar13.vmem
• Python volatility pslist /samples/exemplar13.vmem
• Python volatility pstree /samples/exemplar13.vmem

اهدلیف

Pslist psscan

Graphviz

• Dot –Tpng processes.dot > processes.png

تلبمح فشک DKOM

• یکیزاجیارنیرتیاهلدمهلمح

DKOM ،مدعلاصتاکی processزاکنیلتسیلودهفرط EPROCESSتسا.

• ابنتشونهراشایاهرگ

Flinkو Blinkراکنیاماجناریذپتسا.

Alternate Process Listings

• Process Object Scanning

:نامه pool tag scanningتسا.

• Thread scanning

:

• زااجنآهکره

processدیابلقادحکی threadهتشاد،دشابیممیناوتلابندءایشا thread میدرگبواهنآارهب processاهمیراگنب.

• رگاکی

rootkitهتسناوتدشاب pool tagاریارب processرییغت،دهددیابهمه pool tagاه اریارب thread poolاهرییغتدهداتهتخانشدوشن.

• CSRSS handle table

:

• csrss.exeردداجیاره

processو threadلیخدتسا.

• یمناوتردلودج

handleنآرتشیبوجتسجدرکاتتسیلهمه processاهارمیبایب.

Alternate Process Listings

• PspCid table
• نیاکی

handle tableصاخردهظفاح kernelتساهکهمهءایشا processیاهلاعفو threadاهاررددوخهگنیمدراد.

• Session processes
• همه

processاهارهکرد sessionربراکتساردتسیل SessionProcessLinksهگنیمدراد.

• Desktop threads
• ردنیاراتخاسهمه

threadیاهلصتمهبپاتکسدهریخذیمدوش.

Process Cross-View Plugin

• volatility_2.6_win64_standalone.exe –f prolaco.vmem psxview –apply-rules

Process Token

• Process Token

،ردعقاو contextیتینماارنآصخشمیمدیامن.لماشدراوملیذتسا:

• SIDناربراکایییاههورگهک

processارارجایمدننک.

• یاهزوجمیفلتخم(

privileges )هکهزاجاارجااردنراد.

• هکینامزلنرکیمدهاوخمیمصتدریگبهککی

processهبکیءیشیسرتسددبایبای APIیصاخ اریناوخارف،دنکزاهدادنورد process tokenهدافتسایمدنک.

• نیاراتخاسیرایسبزایاهلرتنکیتینماطوبرمهب

processارلامعِایمدیامن.

Live Response: Accessing Tokens

Ext xtracting and Translating SID IDs in Memory

• Known SIDs
• S-1-5 (NT Authority)
• S-1-5-32-544 (Administrators)
• S-1-5-80 (Service SIDs)

S-1-5-21-4010035002-774237572-2085959976-1000

SID The revision level (version

• f the SID

specification) The identifier authority value The local computer or domain identifier A relative identifier that represents any user or group

getsids plug-in

Example

• volatility_2.6_win64_standalone.exe --profile=VistaSP2x86 -f

\courseware\WindowsVista_0401.vmem getsids

• volatility_2.6_win64_standalone.exe --profile=VistaSP2x86 -f

\courseware\WindowsVista_0401.vmem getsids -p 832

• volatility_2.6_win64_standalone.exe --profile=VistaSP2x86 -f

\courseware\WindowsVista_0401.vmem printkey -K "Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3357474304-2915131210-3987339850- 1000"

• https://support.microsoft.com/en-us/help/243330/well-known-security-

identifiers-in-windows-operating-systems

Process Handles

• Handleیعاجراهبهنومنزابزا

kernel objectتسادننام،لیافدیلک،یرتسیجر processای thread .

• ابشرامشولیلحتءایشایصاخهک

processردنامزهیهتریوصتهباهنآیسرتسدادیپ،هدرکهب یدادعتزاجیاتنیشاتکفیممیسر:

• هچ

processیلیافیصاخاریمهدناوخاییم؟هتشون

• هچ

processیهبدیلکیرتسیجریسرتسدادیپ؟هدرک

• هچ

processیمتسیسلیافهاررودارهتشاگن؟تسا

Handles-File

Handles – Registry ry key

Process Memory ry In Internals

• هچرگایاضفلنرکیارب

processاهتاعلبطایدیفمارردرایتخارارقیم،دهد_EPROCESS ، هظفاحیلصاهک processهبدوخصیصختیم،دهدیواحتاعلبطایدیفمتسا.

• نیاتاعلبطالماشدراوملیذ،تساامادودحمهباهنآیمندوش:
• all content processed by the application
• mapped files
• shared libraries
• Passwords
• credit card transactions
• private structures for e-mail, documents, and chat logs

Process Memory ry

Address Space Layout

• Dynamic linked libraries (DLLs)
• This area represents (DLLs) that were loaded into the address space.
• Environment variables
• This range of memory stores the process’ environment variables, such as its

executable paths, temporary directories, home folders, and so on.

• Process Environment Block (PEB)
• An extremely useful structure that tells you where to find several of the other items

in this list, including the DLLs, heaps, and environment variables.

• It also contains the process’ command line arguments, its current working directory,

and its standard handles

Address Space Layout

• Process heaps
• Where you can find a majority of the dynamic input that the process receives.
• For example, variable-length text that you type into e-mail or documents is often

placed on the heap, as is data sent or received over network sockets.

• Thread stacks
• Each thread has a dedicated range of process memory set aside for its runtime stack.
• This is where you can find function arguments, return addresses (allowing you to

reconstruct call history), and local variables.

• Mapped files and application data
• Mapped files represent content from files on disk, which could be configuration data,

documents, and so on.

• Application data is anything the process needs to perform its intended duties.

Address Space Layout

• Executable
• The process executable contains the primary body of code and read/write

variables for the application.

• This data may be compressed or encrypted on disk, but once loaded into

memory, it unpacks, enabling you to dump plain-text code back to disk.

Exploring Process Memory

Example

• volatility_2.6_win64_standalone.exe -f

\courseware\WindowsVista_0401.vmem --profile=VistaSP2x86 procdump -- dump-dir=outDir

• volatility_2.6_win64_standalone.exe -f \courseware\laqma.vmem procdump -p

1180 --dump-dir=outDir

• volatility_2.6_win64_standalone.exe -f \courseware\laqma.vmem memdump -

p 1180 --dump-dir=outDir

Process Environment Block (PEB)

• رهراتخاس_EProcessیواحیوضعهبمان

PEBتسا.

• PEBلماشتاعلبطالیذتسا:
• ریسملماکهبلیافییارجا

Process

• طخنامرفهک

processارزاغآیمدیامن.

• The current working directory
• هراشارگهب

Process’s heap

• Standard handles
• هسکنیلتسیلودهفرطهکیواحریسملماکهب

DLLیاهیراذگرابهدشتسا.

یا هداد راتخاس PEB PEB

• راتخاسهدادیا

PEBیارادیاهدلیفریزتسا:

• BeingDebugged
• نیادلیفنایبیمدنکهکایآ

processمهنونکاردلاحگابیدندشتسا.

• نیادلیفدنناممچرپزمرقتسارگالاعفدشابوچیهیرگابیدردمتسیسردلاحارجاشابند.
• ImageBaseAddress
• سردآهظفاح

processهکیئاجلیافییارجایلصایراذگرابهدشتسا.( plugin: procdump )

• Ldr
• هبراتخاس_PEB_LDR_DATAهراشایمدنکهکیواحیتایئزجهرابرد

DLLیاهیراذگرابهدشرد processتسا.

یا هداد راتخاس PEB PEB

• ProcessParameters
• هبراتخاس_RTL_PROCESS_PARAMETERSهراشایمدیامن.
• ProcessHeap
• HEAPیلصا

Processهکردماگنهنیزاغآیهد processهبروطکیتاموتاداجیایمدوش.

• NumberOfHeaps
• دادعت

heapیاهکی process .هبروطشیپضرفره processکی heapدراداماابیناوخارف HeapCreateناکماداجیادادعتیرتشیب heapمهارفیمدوش.

• ProcessHeaps
• هیارآیازاهراشااهرگهب

heapیاه process .نیلوایدوروردتسیلهب ProcessHeapهراشایم دیامن.

راتخاس_PEB_LDR_DATA

• InLoadOrderModuleList
• کنیلیتسیلهکاهلوژاماریهدنامزاسیمدیامنهبیبیترتهکردسسورپیراذگرابمیدوش.زا

اجنآهکلیافییارجاسسورپهشیمهیاربیراذگرابنیلوایم،دشابیدورونآردیاضفآسرد نیلواتسا.

• InMemoryOrderModuleList
• کنیلیتسیلهکاهلوژامارهبیبیترتهکردهظفاحیزاجمسسورپرهاظیم،دنوشزاسیهدنام

یمدنک.

• InInitializationOrderModuleList
• کنیلیتسیلهکاهلوژامارهبیبیترتهکعباتنآیناوخارفهدشیراذگرابیمدنک.

لیلحت فادها

• یبایزابطخنامرفوریسمسسورپ
• یسرربیعبانمردهظفاحسسورپهکیتاعلبطاارهرابردهکنآهنوگچسسورپیناوخارفهدشو

یاهلیافنآاجکربیورکسیدرارق،دنرادردرایتخارارقیمدهد.

• لیلحت

heap

• هچهدادییاهربیور

heapهریخذیمدنوش

• یسرربیاهریغتمیطیحم
• فشکهداوناخییاهزااهرازفادبهکیاهریغتمدیدجداجیایمدننک.

لیلحت فادها

• فشکیتشپرداب

handleیاهدرادناتسا

• نییعتهکنآایآیدوروویجورخکیسسورپزاقیرطتکوسهاررودهکبشهبمجاهم

redirectهدشتسا.

• شرامش

DLLاه

• یهاگآزاهوحنیریگدر

DLLیاهیراذگرابهدشطسوتسسورپردمتسیس،لماعونینچمه APIییاههکیاربتسیلندرکاهنآهدافتساهدشتسا.نینچمهفشکهناخباتکیاهنپناهو unlinked

لیلحت فادها

• جارختسایاهلیاف

PEزاهظفاح

• یاهلیاف

PEزاهظفاح dumpیمدندرگویاربلیلحتاتسیاهدامآیمدنوش.

• فشکقیرزتدک
• ردنیاشخبراهچعونقیرزتدکیسرربیمدوشوهکنیاهنوگچدرومیپییوجرارقریگد.

یطیحم یاهریغتم

• یاهریغتمیطیحمسسورپردهتشرییاههکاب

NULLهمتاخیم،دنباییهدنامزاسیمدنوش.

• رگایمجاهمنیااهریغتمارلرتنک،دنکیمدناوتثعابیارجادنیارفداهندبطسوتهمانربشدنو.
• نیاربانبدیابابهوحنلرتنکیورویاهکوکشمانشآمیوش.

یطیحم یاهریغتم هدودحم و ءاشنم

• یتسیلزاعاوناهدادییاههکردکیریغتمیطیحمدوجو،درادهبحرشلیذتسا:
• یاهریسم(

Path )هبهمانربیاهییارجا

• Extensionیاهتبسنهدادهدشهبهمانربییارجا(

PATHEXT )

• یاهریسمهبیاهیروتکریادتقوم
• یاهریسمهبتادنتسم،ربراکهقباس،تنرتنیاردلوفهدادهمانرب
• یاهمان،یربراکمانرتویپماکومانهنماد
• ....

یطیحم یاهریغتم یور رب تلبمح

• ودعونهلمحربیوریاهریغتمیطیحمدنترابعزا:
• رییغتریغتم

PATH

• رییغتریغتم

PATHEXT

• لاثم:
• ریغتم

PATHرد explorer.exeرییغتهدرک

• ربراکربیور

Start->Runروتسد calcاریناوخارفهدرکتسا.

یطیحم یاهریغتم یور رب تلبمح

• ریغتم

PATHEXTلماشتسیلییاهدنوسپتساهکرگاربراکیدنوسپارصخشم،دنکنسوتط متسیسابنآاهدنوسپوجتسجیمدوش.

• لبثمهکینامزربراکروتسد

calcارپیاتیم،دنکادتباهبلابند calc.comدعب calc.exeوردتیاهن calc.batیمددرگ.

• ابرییغتقوفمتسیسادتباهبلابند

calc.zzzیمددرگودکداهندبارارجایمدنک.

• ردنیاطیارشدکداهندبرداهتنا

calc.exeارارجایمدنکوردتیاهنربراکهجوتمیمندوش.

plugin

• Envars
• volatility_2.6_win64_standalone.exe -f \courseware\coreflood.vmem --

profile=WinXPSP3x86 envars -p 1724

Dynamic Link Libraries (DLLs)

• DLLاهیواحدکویعبانمدنتسههکنیبنیدنچسسورپهبکارتشاهتشاذگیمدنوش.
• DLLاهردنیباهرازفادبو

threat actorاهجیاریم،دنشاباریزهبعبانمفلتخممتسیسسرتسدی دنراد:

• Threadاه
• Handleاه
• هظفاح

process

لیلحت DLLاه

هبماگنهلیلحت DLLاهدیابهبدراوملیذهجوتمییامن:

• List discrepancies

:

• نامجاهمشلبتیمدننکهک

DLLناشیاهارابعطقلاصتاراتخاسهدادارفزاکیایدنچتسیل ایابهرابودیسیوندلیفمانایریسمردراتخاسهدادارفناهنپدنیامن.

• Unexpected name paths
• زا

DLLاهابیاهمانکوکشماییاهمانانشآانردیاهلحمدرادناتساریغدیابعلطممیشاب.

• دننام

C:\Windows\system32\sys\kernel32.dll

لیلحت DLLاه

• Context
• نیاربانبدیابهبلحمیریگراکب

DLLهجوتدومن.

• اهنآهبییاهنتکوکشمدنتسیناماهبیدربراکهکیاربنآردرظنهتفرگیم،دنوشیابدهجوتدومن.

Usage DLL networking ws2_32.dll cryptography crypt32.dll firewall maintenance hnetcfg.dll access to protected storage pstorec.dll

یراذگراب هوحن DLLاه

• Dynamic linking
• هبناونعیئزجزانیتورنیزاغآیهد،سسورپره

DLLردلیافییارجاهبتروصکیتاموتارد یاضفسردآسسورپیراذگرابیمددرگ.

• Dependencies
• DLLاهیارادلوادج

import ،دنتسهنیاربانبهکینامزیراذگرابیم،دندرگهمه DLLیاه هفاضایاهکهبنآدامتعا،دنرادزینهبیاضفسردآسسورپیراذگرابیمدنوش.

یراذگراب هوحن DLLاه

• Run-time dynamic linking (RTDL)
• Threadیمدناوت

LoadLibraryای LDRLoadDLLهبهارمهمان DLLیاربیراذگرابیناوخارف دیامن.

• نیادنیارفهباشمکنیلندرکایوپتساهبزجهکنآیدرزا

DLLرد IATطوبرمهبسسورپیقاب یمندنام.

• Injections
• DLLاهیمدنناوتهبتروصیرابجاردسسورپدصقمقیرزتدنوش.

شیوپ DLL متسیس یور رب اه live

• Listdlls
• ناکمایبایزابتسیل

dllاهاریمدهد.

• SysInternals

یزاس ناهنپ DLLاه

تسیل DLLهظفاح رد اه

• Dlllist
• فشک

DLLیاهناهنپ

• ldrmodules

Dumping processes

• Dlldump
• Procdump
• memdump

Example

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem psscan
• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem dlllist -p

868

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem ldrmodules
• p 868
• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem dlldump -p

868 -b 0x00080000 --dump-dir=outDir

Packing and Compression

Code In Injection

• اهرازفادبقیرزتدکارماجنایمدنهداتدنناوتبیتایلمعارزا

contextسسورپرگیدماجنادنهد.

• نیدببیترترازفادبسسورپزاجمارروبجمهبماجنایتایلمعدیامنبدننامدولناداجورتنهفاضاای

ندیدزدتاعلبطازامتسیس.

• نامجاهمیمدنناوتدکارهبکیسسورپهبقرطیفلتخمقیرزتدنیامندننامنتشونردحهظفا

سسورپهاررودایندوزفادیلکیرتسیجرهکثعابیمدوشیاهسسورپدیدج DLLدرومرظن مجاهماریراذگرابدنیامن.

• ردقیرزتدکودفدهمیراد:
• یممیهاوخنییعتمینکهکایآ،سسورپینابرققیرزتدکتسا.
• ییاهشخبزاهظفاحهکیواحدکداهندبتساارجارختسامییامن.

دک قیرزت یاهسلبک

• Remote DLL injection
• سسورپداهندبسسورپدصقمارروبجمهبیراذگراب

DLLصاخزاکسیدیمدنک.نیا DLL لبقزاقیرزتدیابربیورکسیددشاب.

• Remote code injection
• سسورپداهندبدکارردیاضفهظفاحسسورپدصقمیمدسیونوارنآروبجمهبارجایمکدن.
• Reflective DLL injection
• سسورپداهندب

DLLار(هبناونعهلابندیازااهتیاب)ردیاضفهظفاحسسورپدصقمیم دسیون.نیزاغآیهد DLLنودب windows Loaderماجنایمدوش.

دک قیرزت یاهسلبک

• Hollow process injection
• سسورپداهندبهنومنیدیدجزاسسورپزاجماررددوم

suspendedزاغآیمدنک(دننام lsass.exe ) .شیپزا resume ،نآشخبییارجادازآوابدکداهندباددجمیراذگرابیمدوش.

Remote code inje jection

• Malfind
• volatility_2.6_win64_standalone.exe
• f

\courseware\stuxnet.vmem

• profile=WinXPSP3x86 malfind
• volatility_2.6_win64_standalone.exe
• f

\courseware\coreflood.vmem

• profile=WinXPSP3x86 malfind

• http://deniable.org/misc/inject-all-the-things
• https://cysinfo.com/detecting-deceptive-hollowing-techniques/
• https://serverfault.com/questions/578905/how-does-one-configure-windows-

not-to-execute-tampered-binaries

Virtual Address Descriptor (VAD)

• VADطسوتریدمهظفاحردزودنیوهدافتسایمدوشاتهدودحمییاهزاهظفاحهکطسوتکیسسورپ

صیصختهتفایارحیرشتدیامن.

• هکینامزکیسسورپهظفاحیزاجمارصیصختیم،دهدریدمهظفاحیدوروارردتخرد

VADداجیایم دنک.

• تخرد

VADیارب،سسورپراتخاستاعطقهظفاحارصخشمیمدیامن.

• رهدونرد،تخردهدودحمیازاهظفاحیزاجمسسورپارناشنیمدهد.
• متسیسلماعنیاراتخاسهدادیاارفیرعتویرادهگنیمدنک.
• لبثمرد

VADتاعلبطالیذرارقیمدنریگ:

• مانیاهلیافهتشاگنهدشهبهظفاح(

mappedfile )

• دادعتلکتاحفصردهیحان
• تظفاحمهیلوا(،ندناوخ،نتشونارجاندرک)
• ریاساهمچرپ

VAD tree

راتخاس VAD

• یاربرهسسورپ،_EPROCESS.VadRootهبتخرد

VADهراشایمدیامن.

• هسعونراتخاسیاربیاهدوننیاتخرددوجودراد:
• _MMVAD_SHORT
• _MMVAD
• _MMVAD_LONG
• لنرکرددرومعونیراتخاسهکداجیایمدنکینتبمرب

APIراکبهتفرویاهرتماراپلاسرا،هدش میمصتیمدریگ.

• هبکمکنیا،تاعلبطافدهنآهیحانهظفاحصخشمیمدوش.
• Mapped file
• DLL
• Private allocation

• ردیاهراتخاسیاهدون

VADتاعلبطایفلتخمدوجودراد:

• هراشاییاهرگهبیاهدوندنزرف
• هرامشهحفصیزاجمعورشونایاپ
• Subsection

:یتاعلبطاارهرابردلیافای DLLهتشاگنهدشردهیحانهگنیمدراد.

• هبکمکنیاتاعلبطافدههیحانهظفاحربساساعوندونصخشمیمدوش.
• لبثم

short nodeیارادشخب subsectionتسینویمندناوتلیافهتشاگنهدشارهریخذدیامن.

• Shell codeیهکهبهظفاحهتشاگن،هدشربیورکسیدهریخذهدشن.
• نیاربانبهکینامزهبلابندقیرزتدک،میتسهیاهدونیلومعمودنلبارهدیدانیمیریگم.

Protection

• نیادلیفنایبیمدنکهکهچعونیسرتسدهبنآهیحانزاهظفاحزاجمتسا.
• PAGE_EXECUTE
• هظفاحیمدناوتارجادوشیلویمندناوتهتشوندوش.یارب

mappedfileبسانمتسین.

• PAGE_EXECUTE_READ
• هظفاحیمدناوتارجادوشایهدناوخدوشیلویمندناوتهتشوندوش.
• PAGE_EXECUTE_READWRITE
• هظفاحیمدناوت،هدناوخهتشونایارجادوش.تاحفصقیرزتهدشلبومعمنیاعونتظفاحمار

دنراد.

• PAGE_EXECUTE_WRITECOPY
• ناکمایسرتسدطقف،یندناوخارجاای

copy-on-writeارمهارفیمدنک. DLLاهبلغازانیاعون تظفاحمهدافتسایمدننک.

Protection

• PAGE_NOACCESS
• همهیسرتسدهبهظفاحارزاراکیمدزادنا.
• PAGE_READONLY
• هظفاحیمدناوتهدناوخدوشیلویمندناوتارجادوشایهتشوندوش.
• PAGE_READWRITE
• هظفاحیمدناوتهدناوخایهتشوندوشیلوارجایمندوش.
• PAGE_WRITECOPY
• ناکمایسرتسدطقفیندناوخای

copy-on-writeارمهارفیمدنک.

• Protectionلیافردلوطیارجاهمانربیمدناوترییغتدیامن.

دک قیرزت

• لبومعماهرازفادبزاییاهشورهدافتسایمدنیامناتدکداهندبارردیاهسسورپزاجمولباقعادامت

قیرزت،دنیامندننام Services.exe ، SVCHost.exeو WinLogon.exe .

• Malfindلبومعم

VADارسراپیمدنکاتیاهدکقیرزتهدشارادیپدنک:

• لبومعمهناخباتکیاهیراذگرابهدشیداعزاعون_MMVAD or _MMVAD_LONGدنتسه.
• یتاحفصزاهظفاحهکهبتروصایوپزاقیرط

VirtualAllocEx/WriteProcessMemory داجیاهدشدنازاعون_MMVAD_SHORTدنتسه.

• رگانیاتاحفصنینچمهیارادیگژیو

PAGE_EXECUTE_READWRITE ،دنشابیگژیو یبوخیارب malfindتسا.

malf lfind

• Malfindیتاحفصهکیارادیاهیگژیولیذتساارفشکیمدنک
• RWX protection
• unlinked libraries (from the PEB)
• Wiped PE headers in RWX-protected memory regions

REF

• T. Barabosch, N. Bergmann, A. Dombeck, and E. Padilla, Quincy: Detecting Host-

Based Code Injection Attacks in Memory Dumps, International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment, 2017.

Remote DLL In Injection

• Process A enables debug privilege (SE_DEBUG_PRIVILEGE) that gives it the right

to read and write other process’ memory as if it were a debugger.

• Process A opens a handle to Process B by calling OpenProcess. It must request at

least PROCESS_CREATE_THREAD, PROCESS_VM_OPERATION, and PROCESS_VM_WRITE.

• Process A allocates memory in Process B using VirtualAllocEx. The protection is

typically PAGE_READWRITE.

• Process

A transfers a string to Process B’s memory by calling

• WriteProcessMemory. The string identifies the full path on disk to the malicious

DLL and it is written at the address allocated in the previous step.

Remote DLL In Injection

• Process A calls CreateRemoteThread to start a new thread in Process B that

executes the LoadLibrary function. The thread’s parameter is set to the full path to the malicious DLL, which already exists in Process B’s memory.

• At this point, the injection is complete and Process B has loaded the DLL. Process

A calls VirtualFree to free the memory containing the DLL’s path.

• Process A calls CloseHandle on Process B’s process to clean up.

Remote DLL In Injection

Signed DLLs

• Local Security Policy MMC
• secpol.msc
• allow any signed file to run

Hollow Process In Inje jection

How to Hollow a Process

• 1.

Start a new instance

• f

a legitimate process (for example, C:\windows\system32\ lsass.exe), but with its first thread suspended. At this point, the ImagePathName in the PEB of the new process identifies the full path to the legitimate lsass.exe.

• 2. Acquire the contents for the malicious replacement code. This content can

come from a file on disk, an existing buffer in memory, or over the network.

• 3. Determine the base address (ImageBase) of the lsass.exe process, and then

free or unmap the containing memory section. At this point, the process is just an empty container (the DLLs, heaps, stacks, and open handles are still intact, but no process executable exists).

• 4. Allocate a new memory segment in lsass.exe and make sure that the memory

can be read, written, and executed. You can reuse the same ImageBase or a different one

How to Hollow a Process

• 5. Copy the PE header for the malicious process into the newly allocated memory

in lsass.exe.

• 6. Copy each PE section for the malicious process into the proper virtual address

in lsass.exe.

• 7. Set the start address for the first thread (the one that has been in a suspended

state) to point at the malicious process’ AddressOfEntryPoint value.

• 8. Resume the thread. At this point, the malicious process begins executing within

the container created for lsass.exe. The ImagePathName in the PEB still points to C:\windows\system32\lsass.exe.

Detect Hollow Process

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem --

profile=WinXPSP3x86 pslist | findstr lsass

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem --

profile=WinXPSP3x86 dlllist -p 680,868,1928 | findstr lsass

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem --

profile=WinXPSP3x86 vadinfo -p 680,868,1928 --addr=0x01000000

• volatility_2.6_win64_standalone.exe -f \courseware\stuxnet.vmem --

profile=WinXPSP3x86 ldrmodules -p 1928

زودنیو یرتسیجر لیلحت

• فادهالیلحت
• ادیپندرکیاهلیافیرتسیجر
• فشکیاهدیلکیرتسیجرابشزرایکیسنروف
• نتخومآهرابردیاهدیلکصاخیرتسیجر

یرتسیجر رد مهم تاعلبطا

• Auto-start programs
• همانربییاههکهبماگنههاریزادنامتسیسارجایمدنوش.
• Hardware
• هناسریاهتخسیرازفاهکهبمتسیسلصتمهدوبدنا.
• User account information
• یزیممیاهباسح،یربراکتاملک،روبعیدراومهکاریخاهدافتساهدش
• Recently run programs
• نییعتهمانربییاههکاریخاارجاهدشدنا.
• System information
• نییعتتامیظنت،متسیسمرنیاهرازفابصن،هدش

patchیاهیتینما

• یدنبرکیپرازفادب
• یاهریسمهبیاهلیافهدولآربیورکسیدو....

یرتسیجر یاهودنک ندرک ادیپ

• Hivelist
• سردآیکیزیفویقطنمودنک
• تسفُایزاجم
• تاعلبطاریسم
• دیلک[no name]یواحتاعلبطاهرابردیودنک،همانربنیشاموربراکتسا.

ناشریداقم و اهدیلک پاچ

• Printkey
• ریسمیرتسیجر
• ماندیلک
• نیرخآنامزنتشون
• اهدیلکریز
• رهرادقمرگید

رازفادب یاقب فشک

• اهرازفادببلغازایندنرادهکسپزاهاریزادناددجممتسیسزونهدوجوهتشاددنشاب.
• یکیزاهداسنیرتاهشوریاربنیاهلئسمیریگرارقردیاهدیلکیرتسیجر

startupتسا.

• ردنیااهدیلکیتاعلبطاهرابردهمانربییاهتساهکهبماگنهتوبمتسیساینیگلببراکرهاریزادنا

یمدنوش.

• نیاربانبلرتنکنیااهدیلکیاربهکنآصخشمدوشرازفادبشدوخارراگدنامهدومنیرورضتسا.

Example

• volatility_2.6_win64_standalone.exe -f

\courseware\WindowsVista_0401.vmem --profile=VistaSP2x86 hivelist

• volatility_2.6_win64_standalone.exe -f \courseware\zeus.vmem --

profile=VistaSP2x86 printkey -K "controlset001\control\computername"

• volatility_2.6_win64_standalone.exe -f \courseware\zeus.vmem userassist
• volatility_2.6_win64_standalone.exe -f \courseware\zeus.vmem hashdump