来源MediumSOCFortress翻译securitainment原文https://socfortress.medium.com/title-volatility-3-will-change-how-you-hunt-malware-and-heres-the-cheatsheet-a535d4530611内存不会说谎如果你曾经历过那种总觉得哪里不对的安全事件——磁盘取证线索寥寥无几、日志嘈杂不堪、恶意软件在玩捉迷藏——内存取证往往是真相最先浮现的突破口。在我们最新的 SOCFortress 教程中我们使用一个包含真实 rootkit 的 Windows 内存转储对 Volatility 3 进行实战演练。目标很简单为你提供一套实用的工作流程和精确的命令让你能够自信地发现隐藏进程、识别注入行为、揭露 C2 连接并验证 rootkit 行为——而无需陷入繁琐的理论。观看完整教程获取 Volatility 3 速查表 (PDF)为了使其在实际调查中更具实用性我们还发布了一份免费的 Volatility 3 速查表你可以在应急分类时随时查阅。速查表下载https://github.com/socfortress/Volatility-3/releases/download/1.0/SOCFortress_cheatsheet.pdf它旨在帮助你快速推进各个调查阶段的工作分类处置 / 系统识别进程分析 (包括隐藏内容对比)命令行提取与可疑执行路径内存注入与恶意软件指标带有进程上下文的网络连接有助于构建执行时间线的注册表痕迹内核/rootkit 检查 (SSDT、驱动程序、回调)规范地导出取证痕迹便于离线分析为什么在 DFIR 中使用 Volatility 3在许多真实案例中磁盘证据往往是被刻意弄得残缺不全的恶意软件在内存中执行从不完整落盘Rootkit 操纵操作系统报告的内容 (进程列表、驱动程序等)攻击者使用 LOLBins 和短生命周期进程转瞬即逝EDR 遥测数据可能因配置差异而受限、延迟或充满噪声内存让你更直接地看到系统的真实状态存在哪些进程 (包括被隐藏的)实际执行了哪些命令哪些内存区域看起来被注入或存在可疑迹象哪些网络连接处于活动状态以及哪些进程拥有它们哪些内核级痕迹指向钩子函数或恶意驱动你应该使用的工作流程 (高层次)以下是我们在视频中讲授的分析思路快速识别系统从操作系统和符号相关的上下文开始以便后续每个输出都有意义。进程真实性检查对比正常列表与内存扫描结果。如果扫描发现的比操作系统列出的多就应视为危险信号并深入排查。构建执行故事进程树和命令行参数经常能精确还原恶意软件的启动方式 (或它试图执行的操作)。搜寻注入与可疑内存区域查找无文件映射的可执行内存区域、异常权限以及其他表明有代码驻留在内存中的迹象。转向网络分析找到与基线不匹配的连接关联至对应进程上下文并开始验证可能的 C2。必要时深入内核层如果你怀疑存在 rootkit验证 SSDT 条目、驱动程序和回调注册。内核层面的异常往往正是 rootkit 藏身之处。在哪里获取工具如果你想要视频中引用的 SOCFortress 仓库https://github.com/socfortress/Volatility-3最后提示让你的输出具有可操作性当你进行更大规模的调查时不要把自己困在终端的滚屏输出里。将结果导出为 CSV/JSON并使用你已有的工具 (Excel、Python 或你的日志平台) 进行分析。这就是你将内存取证从一次性演示升级为可复用 IR 工作流的方法。最后给大家推荐几本最近比较热销的网络安全书籍