利用内存取证检测高级恶意软件
1. 检测空心进程注入
检测空心进程注入可以通过查看进程环境块(PEB)和虚拟地址描述符(VAD)之间的差异、内存保护差异以及父子进程关系差异来实现。
以Stuxnet为例,系统上有两个lsass.exe进程在运行。第一个lsass.exe进程(pid 708)的父进程是winlogon.exe(pid 652),而第二个lsass.exe进程(pid 1732)的父进程(pid 1736)已终止。在干净的系统中,Vista之前的机器上lsass.exe的父进程是winlogon.exe,Vista及更高版本系统中是wininit.exe,因此可以判断pid为1732的lsass.exe是可疑进程。
以下是具体的操作步骤:
$ python vol.py -f stux.vmem --profile=WinXPSP3x86 pslist | grep -i lsass Volatility Foundation Volatility Framework 2.6 0x818c1558 lsass.exe 708 652 24 343 0 0 2016-05-10 06:47:24+0000 0x81759da0 lsass.exe 1732 1736 5 86 0 0 2018-05-12 06:39:42 $ py