iT邦幫忙

2025 iThome 鐵人賽

DAY 4
0
Security

我一個大調查下去:從零開始的數位鑑識系列 第 4

【Day 04】駭客蹤跡的關鍵:揮發性記憶體擷取

  • 分享至 

  • xImage
  •  

前言

揮發性記憶體是數位鑑識中最重要的揮發性證據之一,包含正在執行的程序、網路連線等等,一旦系統重開機,這些證據就會永久消失,所以安全的擷取記憶體是鑑識人員必備的技能之一。
我們今天就是要來學習如何擷取記憶體啦,在 Windows 上我們會使用 DumpItLinux 則是 AVML
要注意的點是,在真實案例中要先將工具放在USB 或 CD 之類的載具裡,避免污染到系統。不過我們今天只是練習,可以直接在本機上測試就好。

DumpIt

安裝

官網往下滑會看到下圖
https://ithelp.ithome.com.tw/upload/images/20250823/20177998GcxNmSmTyf.png
輸入資料後會收到電子郵件
https://ithelp.ithome.com.tw/upload/images/20250823/201779986CYCI4ncXm.png
按下Download the tookit下載檔案。

使用

解壓縮檔案,打開來後會看到x64, x86, ARM64三個資料夾,選自己電腦的架構。
如何確定自己電腦的架構?
開啟 cmd 並輸入 echo %PROCESSOR_ARCHITECTURE% 就能看到自己電腦的架構了(AMD64 -> x64, x86 ->
x32)。
進入對應資料夾後執行DumpIt.exe,輸入y就會開始擷取,預設會存在跟 .exe 同個資料夾下,副檔名為 .dmp ,我們就成功地把記憶體擷取下來了。
https://ithelp.ithome.com.tw/upload/images/20250823/201779983jwh4KQNo0.png

AVML

安裝

打開 Linux(沒有的查一下如何裝 Linux vm),在終端輸入

wget -O avml https://github.com/microsoft/avml/releases/latest/download/avml 

上面指令用wget下載檔案

chmod +x avml 
./avml --version 

chmod +x 把檔案權限調成可執行,./avml --version 列出 avml 的版本
https://ithelp.ithome.com.tw/upload/images/20250823/20177998TyO1KJNlO5.png
有輸出版本代表安裝成功

使用

sudo ./avml memory_dump.lime 

https://ithelp.ithome.com.tw/upload/images/20250823/2017799850TtFxcuLB.png
memory_dump.lime 就是擷取出的記憶體了。
這裡可能有人會問:「為什麼兩個擷取的檔案副檔名不一樣呢?」
副檔名不同主要是為了區分不同平台和擷取工具,讓後續用於分析的工具更好辨識以增加分析的準確性。

總結

今天學會了記憶體擷取的基本技能,掌握了 Windows 的 DumpIt 與 Linux 的 AVML 兩大主流工具。明天將學習如何建立磁碟映像檔,了解如何安全複製整個磁碟系統。


上一篇
【Day 03】數位鑑識基本流程
下一篇
【Day 05】不容忽視的線索:磁碟映像檔製作
系列文
我一個大調查下去:從零開始的數位鑑識14
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言