「中睿大學(xué)」是中睿天下建設(shè)的網(wǎng)絡(luò)攻防學(xué)習(xí)、交流與分享平臺(tái)。聚焦「實(shí)戰(zhàn)對(duì)抗」，基于中睿天下多年一線攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，分享行業(yè)知識(shí)及優(yōu)秀實(shí)踐，幫助合作伙伴及用戶等提升網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、分析研判、態(tài)勢(shì)感知、攻擊溯源以及應(yīng)急處置等攻防能力。

這次，我們走進(jìn)「中睿大學(xué)」系列課程之“內(nèi)存取證第一步——進(jìn)程內(nèi)存Dump與內(nèi)存鏡像Dump”。

＃內(nèi)存轉(zhuǎn)儲(chǔ)＃

內(nèi)存轉(zhuǎn)儲(chǔ)是將內(nèi)存所運(yùn)行的程序中所有數(shù)據(jù)通過(guò)調(diào)試器保存到磁盤中的過(guò)程。系統(tǒng)崩潰時(shí)，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲(chǔ)保存在轉(zhuǎn)儲(chǔ)文件中，供給有關(guān)人員進(jìn)行排錯(cuò)分析。其生成所保存的文件被稱作內(nèi)存轉(zhuǎn)儲(chǔ)文件，主要用于程序的調(diào)試和內(nèi)存取證。

＃轉(zhuǎn)儲(chǔ)系統(tǒng)內(nèi)存鏡像＃

用于對(duì)整個(gè)系統(tǒng)內(nèi)存進(jìn)行分析，尋找是否存在惡意程序。轉(zhuǎn)儲(chǔ)速度依照系統(tǒng)物理內(nèi)存大小而定，相比單個(gè)進(jìn)程的轉(zhuǎn)儲(chǔ)文件更加全面，但與此同時(shí)速度也較慢。明確定位到惡意程序時(shí)，將其進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)進(jìn)行分析，更加靈活、快速。

本文主要介紹在Windows與Linux系統(tǒng)下如何提取內(nèi)存文件，分為單個(gè)進(jìn)程內(nèi)存的轉(zhuǎn)儲(chǔ)與整個(gè)系統(tǒng)內(nèi)存的轉(zhuǎn)儲(chǔ)。

1

Windows系統(tǒng)下如何轉(zhuǎn)儲(chǔ)內(nèi)存

進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)

＃任務(wù)管理器＃

◆ 簡(jiǎn)介

任務(wù)管理器為Windows系統(tǒng)自帶工具，用于提供有關(guān)計(jì)算機(jī)性能的信息，并且顯示計(jì)算機(jī)上所運(yùn)行的程序和進(jìn)程詳細(xì)信息。

◆ 使用方式

打開運(yùn)行對(duì)話框（Win＋R）—＞輸入 taskmgr

◆ 環(huán)境限制

該工具為Windows系統(tǒng)自帶工具
僅支持在Windows環(huán)境下使用

◆ 轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存方式

選定目標(biāo)進(jìn)程右鍵，點(diǎn)擊創(chuàng)建轉(zhuǎn)儲(chǔ)文件即可。

保存路徑：

C：Users用戶AppDataLocalTemp進(jìn)程名．DMP

＃ProcessExplorer＃

◆ 簡(jiǎn)介

一款Windows系統(tǒng)與應(yīng)用程序監(jiān)控工具，結(jié)合了文件監(jiān)視和注冊(cè)表監(jiān)視兩個(gè)工具的功能，還增加了多項(xiàng)重要的增強(qiáng)功能，此工具支持64位Windows系統(tǒng)，可以理解為一個(gè)增強(qiáng)版的任務(wù)管理器，轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存與任務(wù)管理器相似。

◆ 下載地址

https：／／docs．microsoft．com／en－us／sysinternals／downloads／process－explorer

◆ 環(huán)境限制

ProcessExplore僅可在Windows系統(tǒng)下使用

Windows 7／Windows 2008 以下環(huán)境下需要安裝補(bǔ)丁KB2758857后才可正常使用

◆ 轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存方式

1． 以管理員身份打開procexp．exe

2． 選中目標(biāo)進(jìn)程右鍵－＞Create Dump－＞Create Full Dump

3． 選擇保存位置即可