个人计算机内存分析"/>

个人计算机内存分析

本文参考各位前辈的优秀原创，仅为整理学习使用。

一般针对物证的提取可以分为两种：现场固定提取、封装打包后带回鉴定处固定提取。
易失性的证据，自然属于必须在现场立刻固定提取的一类，毕竟是”易失性“的，一断电或者重启数据就丢失了，或者被覆盖也没了。

内存

动态内存不仅指电脑RAM内存，也可以指代许多其他存有动态性易失数据的设备内存，如联网的路由器等。

随机存储器（Random Access Memory）可读可写，断电易失。
通常情况下，存储在内存中的证据不会写入硬盘驱动器，并且可以在pagefile.sys或hiberfil.sys中找到。

在内存中包含但不限于以下内容：

• 进程列表

• 已经执行的命令行

• 剪切板记录

• 网络连接

• BitLocker/SafeBoot/PGP/TrueCrypt/ VeraCrypt等全盘加密或加密容器的恢复密钥

• 网络账户密码（如邮件、社交媒体、云存储等）

• 漏洞利用相关信息

• $MFT记录（主文件表Master File Table）

• 部分注册表记录（可从注册表记录中解析出Windows账户密码Hash）

• 活跃的注册表键

• link文件

• windows事件日志

• 聊天记录（QQ聊天记录片段、浏览器历史记录）

• 电子邮件、短信

• 时间线、图片、文档、视频等活动

• 已删除文件

• 恶意软件

• 还未保存到硬盘中的各种文件等

文件生成与分析

内存dump文件生成 非常详细的操作手册，其中包括VM、FTK imager、EnCase、取证大师、开源工具DumpIt的参考操作截图。

生成内存dump文件

Dump文件：进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。Dump文件是用来给驱动程序编写人员调试驱动程序用的，这种文件必须用专用工具软件打开，比如使用WinDbg打开。
dump还是oracle及SQL数据库中导出的数据文件。可以备份数据，并可以实现后期的导入。

利用VMware生成内存dump的特性VMware虚拟机运行中，在虚拟机根目录下.vmem文件即为内存镜像文件。

使用第三方软件抓取内存dump

日常取证工作中，还可利用第三方工具来抓取内存dump，FTK Imager、EnCase、取证大师、开源工具DumpIt都可以用来抓取内存dum。
还需注意使用在使用第三方软件抓取dump 时，将软件放在U盘等外接设备内，防止软件对计算机环境造成不必要的污染。

动态内存

[如何固定动态内存]qq.com/s/GCVtAtI6mD-IxWRnyKQyBQ)

固定动态内存的挑战

1.一般来说，内存固定取证对Windows设备的影响可能有以下三个方面：

• 注册表
  部分内存内容
  覆盖盘上非常小一部分的数据

这些影响非常小，每一步骤都可以在报告中详细地写明，这样依然能保证在法庭上证据的有效性。因此，获取RAM内存镜像时，不仅要详细地记录在目标设备上的每步操作，更要保证自己的操作都是合乎法律标准和规范的。

2. 电脑处于锁屏状态
   有时候，现勘中遇到的电脑虽然是开机状态，但锁屏了无法进入，那么这个时候为了获取到RAM的内容，只能采取不重启绕过密码登录的方式了。
   有的取证人员会选择使用一些工具如CaptureGuard和Phantom Probe等绕过密码来读取内存和加密盘，也有人会用DMA攻击的手段从RAM中获取到密码从而登录到系统中。
   但牢记一点，这种情况下不仅会在RAM内存中留下痕迹，还有可能会失败，所以很有必要评估一下风险看是否值得尝试，最好还是询问有经验的专家。

3.管理员权限

工具

FTK Imager【Memory Capture】【pagefile.sys文件】
Belkasoft RAM Capturer
Magnet RAM Capturer

在内存中提取密钥

打破全盘加密之道：如何在内存中提取密钥？

Elcomsoft System Recovery有助于更快地启动密码破解，并通过提取系统的休眠文件（可能包含保护加密卷的动态加密密钥）

加密磁盘取证的两种方法方法

1：提取休眠文件以找到加密密钥加密容器旨在抵御对其密码的暴力破解。
此外，某些全盘加密方式根本不使用密码（例如Surface常用的BitLocker加密）。由于暴力破解可能非常耗时，因此我们开发了实现变通解决方案的工具。所有加密容器都具有相同的功能，同时也是一个安全漏洞。我们谈论的是即时加密密钥（OTFE密钥）。这些密钥是系统在正常操作期间用于加密和解密信息的实际二进制密钥。 密钥存储在系统的易失性存储器中，同时安装加密卷以便于对加密数据的读/写访问。可以直接从设备的内存中提取这些密钥（Elcomsoft Forensic Disk Decryptor），但超出了本文的范围。
相反，我们来谈谈休眠状态。
当用户将计算机置于休眠状态（而不是将其关闭）时，Windows会将设备易失性内存的副本保存在计算机的硬盘驱动器或SSD驱动器上，以便保存的状态可以在断电后继续存在。与此同时，计算机的RAM芯片仍然通电以保留信息。如果在休眠期间没有切断电源，计算机将立即恢复。但是，如果断电（或耗尽电量），Windows将从硬盘驱动器加载已保存的RAM内容。存储计算机内存内容的文件称为休眠文件。Windows以“hiberfil.sys”的名称存储休眠文件。休眠文件已加密，但是我们能够破解这种加密。
相当于——
如果在安装加密分区时计算机处于休眠状态，则OTFE密钥可以直接存储在系统的休眠文件中。如果我们从闪存驱动器启动，我们可以获取休眠文件并使用它将OTFE密钥定位到计算机进入休眠状态时仍然挂载的所有加密卷。您需要Elcomsoft Forensic Disk Decryptor来提取OTFE密钥并使用它们来即时挂载或解密加密卷。

TrueCrupt？VeraCrypt？

由于TrueCrypt和VeraCrypt使用类似的格式，因此我们很难区分它们。不幸的是，这两种工具在破解加密方面有所不同，因此必须先指定正确的工具才能启动密码破解。
此外，TrueCrypt和VeraCrypt都为用户提供了一系列加密算法的选择。每个算法可以选择性地配置不同的迭代次数（从密码生成OTFE密钥的散列操作的数量）。如果用户指定了非标准数量的哈希迭代，除非知道该数字（或尝试所有可能的组合，这会大大增加破解时间），否则将无法破解密码。
要提取加密元数据，请执行以下操作安装Elcomsoft System Recovery 6.0或更新版本到您的计算机(不是嫌疑人的计算机)。创建一个可启动的闪存驱动器。确保指定目标系统的正确配置(BIOS或UEFI、32位或64位)。一般来说，建议使用至少32GB的高速闪存。从刚刚创建的闪存驱动器启动目标系统。一旦启动序列完成，将启动Elcomsoft System Recovery。从以下窗口中，选择Disk tools（磁盘工具）。

内存镜像

如果正在进行在线系统实时分析，并且用户已登录，则还有另一种选择可通过内存镜像来提取OTFE密钥。
为了获取内存镜像，必须在用户正在运行的系统上运行Elcomsoft Forensic Disk Decryptor（所以请暂时忽略“只读”部分）。 用户必须已登录，并且该帐户必须具有管理员权限。
注意：在线系统分析有较高风险。虽然Elcomsoft System Recovery提供了只读操作，但在线系统分析正好相反。要提取内存镜像，请将Elcomsoft Forensic Disk Decryptor安装到闪存驱动器上，将该闪存驱动器连接到目标系统并运行提取小工具。内存镜像将被保存，请确保在闪存盘上指定正确的路径。
然后可以将内存镜像传输到计算机上，并运行Elcomsoft Forensic Disk Decryptor来搜索OTFE密钥。