Comptia security+ 考试题
发生了一起涉及工作站可能感染病毒的事件。该工作站可能已将机密数据发送到未知的互联网服务器。安全分析师应首先执行以下哪项操作?
A. 复制工作站内存中的所有内容。
B. 关闭工作站。
C. 查阅信息安全政策。
D. 运行病毒扫描。
答案是A,复制内存中的所有内容。
那么怎样才能做到这一点呢?
一旦完成,这样的事情有什么用呢?
例如,如果安装了 16GB 的 DDR4 RAM,RAM 使用了 75%,那么将有 11GB,以什么形式存在?
答案1
这样的东西有什么用呢?
假设您安装了正确的工具和符号,那么您就可以在内存中搜索内容。如果您在测试机器上安装了调试符号,那么您就可以调试代码并查看发生了什么。
如果您没有接受过内核级开发培训,那么它可能没那么有用,而且您主要只是捕获这些信息以便在需要时提供给专家。
它可以用来确认或排除受感染系统最近是否发送或接收了数据。它可能会给你提供关于攻击者控制系统等的线索。它可能会告诉你哪些信息被泄露,以及你网络上的哪些帐户目前正在使用。
那么怎样才能做到这一点呢?
在 Windows 上,有几个 sysinternals 工具可以为系统或应用程序生成转储文件。棘手的部分是,默认情况下,崩溃转储在现代版本的 Windows 上大多被禁用,您必须重新启动才能启用它们。重新启动会清除您想要捕获的内存。更复杂的是,您可能希望首先隔离受感染的系统,这意味着您可能无法在您正在检查的系统上使用那些工具。
- https://docs.microsoft.com/en-us/sysinternals/downloads/notmyfault
- https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
Forensics Wiki(我查看时似乎处于离线状态)上列出了一些可能有助于转储内存的工具。我没有使用任何第三方工具。
在 Linux 方面,可能有一种方法可以转储它,具体取决于您是否禁用了设备。请参阅此关于超级用户的问题。