Python取证-内存和取证
在这一章中,我们将着重于在 Volatility 的帮助下调查易 失性 内存,这是一个基于Python的取证框架,适用于以下平台: Android 和 Linux。
易失性内存
易失性存储器是一种存储类型,当系统电源关闭或中断时,其内容会被清除。RAM是易失性存储器的最好例子。这意味着,如果你正在处理一份没有保存到非易失性存储器(如硬盘)的文件,而计算机失去了电源,那么所有的数据都将丢失。
一般来说,易失性存储器取证遵循与其他取证调查相同的模式–
- 选择调查的目标
- 获取取证数据
- 取证分析
用于安卓的基本 波动性插件 收集 RAM转储 以供分析。一旦收集到RAM dump进行分析,就必须开始猎取RAM中的恶意软件。
YARA规则
YARA是一个流行的工具,它提供了一个强大的语言,与基于Perl的正则表达式兼容,并用于检查可疑的文件/目录和匹配字符串。
在本节中,我们将使用YARA基于模式匹配的实现,并将它们与实用的力量相结合。这个完整的过程将有利于取证分析。
例子
考虑一下下面的代码。这段代码有助于提取代码。
import operator
import os
import sys
sys.path.insert(0, os.getcwd())
import plyara.interp as interp
# Plyara is a script that lexes and parses a file consisting of one more Yara
# rules into a python dictionary representation.
if __name__ == '__main__':
file_to_analyze = sys.argv[1]
rulesDict = interp.parseString(open(file_to_analyze).read())
authors = {}
imps = {}
meta_keys = {}
max_strings = []
max_string_len = 0
tags = {}
rule_count = 0
for rule in rulesDict:
rule_count += 1
# Imports
if 'imports' in rule:
for imp in rule['imports']:
imp = imp.replace('"','')
if imp in imps:
imps[imp] += 1
else:
imps[imp] = 1
# Tags
if 'tags' in rule:
for tag in rule['tags']:
if tag in tags:
tags[tag] += 1
else:
tags[tag] = 1
# Metadata
if 'metadata' in rule:
for key in rule['metadata']:
if key in meta_keys:
meta_keys[key] += 1
else:
meta_keys[key] = 1
if key in ['Author', 'author']:
if rule['metadata'][key] in authors:
authors[rule['metadata'][key]] += 1
else:
authors[rule['metadata'][key]] = 1
#Strings
if 'strings' in rule:
for strr in rule['strings']:
if len(strr['value']) > max_string_len:
max_string_len = len(strr['value'])
max_strings = [(rule['rule_name'], strr['name'], strr['value'])]
elif len(strr['value']) == max_string_len:
max_strings.append((rule['rule_name'], strr['key'], strr['value']))
print("\nThe number of rules implemented" + str(rule_count))
ordered_meta_keys = sorted(meta_keys.items(), key = operator.itemgetter(1),
reverse = True)
ordered_authors = sorted(authors.items(), key = operator.itemgetter(1),
reverse = True)
ordered_imps = sorted(imps.items(), key = operator.itemgetter(1), reverse = True)
ordered_tags = sorted(tags.items(), key = operator.itemgetter(1), reverse = True)
上述代码将产生以下输出。
实现的YARA规则的数量有助于更好地了解可疑文件的情况。间接来说,可疑文件的列表有助于为取证收集适当的信息。
以下是github中的源代码: https://github.com/radhikascs/Python_yara