33、利用内存取证检测高级恶意软件

利用内存取证检测高级恶意软件

在当今数字化的时代，恶意软件的威胁日益严峻，它们不断进化，采用各种隐蔽和逃避检测的技术。内存取证作为一种强大的技术手段，能够从计算机内存中发现和提取有价值的取证信息，帮助我们深入了解恶意软件的行为和特征。本文将详细介绍如何利用内存取证技术来检测高级恶意软件，包括代码注入和空心进程注入等技术的检测方法。

1. 检测代码注入

代码注入是一种将恶意代码（如 EXE、DLL 或 shellcode）注入到合法进程内存中，并在合法进程的上下文中执行恶意代码的技术。为了检测注入到远程进程中的代码，我们可以根据内存保护和内存内容来查找可疑的内存范围。

1.1 获取 VAD 信息

Windows 在内核空间中维护了一个名为虚拟地址描述符（VADs）的二叉树结构，每个 VAD 节点描述了进程内存中一个虚拟连续的内存区域。如果进程内存区域包含一个内存映射文件（如可执行文件、DLL 等），则其中一个 VAD 节点会存储其基地址、文件路径和内存保护信息。

要从内存映像中获取 VAD 信息，可以使用 Volatility 的 vadinfo 插件。以下是一个示例，展示了如何使用 vadinfo 插件显示 explorer.exe 进程的内存区域：

$ python vol.py -f win7.vmem --profile=Win7SP1x86 vadinfo -p 2180
Volatility Foundation Volatility Framework 2.6
VAD node @ 0x8724d718 Start 0x00db0000 End 0