Охотник на малварь начинается здесь — научись извлекать скрытые процессы, инъекции и руткиты прямо из оперативной памяти! 12 уроков жёсткой практики с Volatility 3, после которых ни один вредонос не спрячется в RAM.
Чему ты научишься
✓создавать и получать дампы оперативной памяти различными способами
✓анализировать дерево процессов и обнаруживать аномальные процессы
✓извлекать сетевые соединения и артефакты реестра из памяти
✓обнаруживать инъекции кода и руткиты в дампах RAM
✓извлекать подозрительные файлы и артефакты из оперативной памяти
✓составлять профессиональный отчёт по результатам memory forensics
Что нужно знать
•
базовое понимание архитектуры ОС Windows (процессы, DLL, реестр)
•опыт работы с командной строкой Linux
•понимание основ сетевых протоколов (TCP/UDP)
•установленный Python 3.x и Volatility 3
Программа
M1
Основы анализа памяти
4 карт · 4 шагов · тест 13 вопросов
Погружение в мир RAM-форензики — узнаешь, почему оперативная память хранит улики, которых нет на диске, и настроишь свой арсенал Volatility 3
1.
Зачем анализировать оперативную памятьОперативная память содержит артефакты, которые невозможно найти на диске: расшифрованные пароли, ключи шифрования, код malware, сетевые соединения. Memory forensics — единственный способ поймать fileless malware и продвинутые APT-атаки, которые живут только в RAM.1 шагов
2.
Типы дампов памяти и способы их полученияСуществует три типа дампов: полный (raw), crash dump и hibernation file. Для forensics нужен полный raw-дамп. Снимают его WinPmem, FTK Imager, DumpIt или через гипервизор. Главное правило — минимальное воздействие на систему и немедленная фиксация хеша.1 шагов
3.
Установка и настройка Volatility 3Volatility 3 — Python-фреймворк для memory forensics. Устанавливается через pip или git clone. Требует Python 3.7+, symbol tables для целевой ОС и несколько зависимостей. Правильная настройка среды — залог быстрого анализа без ошибок.1 шагов
4.
Профили операционных систем и их выборВ Volatility 3 профили заменены на symbol tables — JSON-файлы, описывающие структуры ядра конкретной ОС. Фреймворк автоматически определяет нужные символы. Для Windows символы доступны готовые, для Linux — генерируются через dwarf2json. Неправильные символы = мусор на выходе.1 шагов
M2
Анализ процессов и сети
4 карт · 4 шагов · тест 14 вопросов
Детективная работа с процессами — находим скрытые соединения, вскрываем DLL-инъекции и достаём секреты реестра прямо из памяти
1.
Список процессов и дерево процессовpslist показывает процессы через linked list ядра, psscan находит скрытые процессы сканированием памяти, pstree строит иерархию parent-child. Сравнение их вывода — первый способ обнаружить rootkit. Аномалии: svchost без services.exe, cmd.exe из браузера, процессы без parent.1 шагов
2.
Анализ DLL и загруженных модулейDLL (Dynamic Link Libraries) загружаются в адресное пространство процессов. Volatility 3 через dlllist и ldrmodules показывает все загруженные модули. Аномалии: DLL из Temp-папок, несоответствие в трёх PEB-списках (ldrmodules), DLL с подозрительными именами в легитимных процессах. DLL injection — один из главных векторов persistence.1 шагов
3.
Извлечение сетевых соединений из дампаnetscan извлекает из памяти все TCP/UDP соединения — активные, закрытые и в состоянии ожидания. Это ключ к обнаружению C2-каналов, lateral movement и data exfiltration. Каждое соединение привязано к PID — можно сразу определить, какой процесс общается с внешним миром.1 шагов
M3
Обнаружение вредоносного кода
4 карт · 4 шагов · тест 15 вопросов
Финальная охота — ищем руткиты, инъекции в процессы и извлекаем малварь, которая живёт только в RAM и никогда не касается диска
1.
Поиск инъекций в процессыProcess injection (T1055) — техника, при которой malware внедряет код в легитимный процесс. malfind обнаруживает регионы памяти с правами PAGE_EXECUTE_READWRITE и MZ-заголовками. VAD-анализ показывает аномальные выделения памяти. Инъекции в svchost.exe, explorer.exe и lsass.exe — самые распространённые.1 шагов
2.
Обнаружение руткитов в памятиRootkit скрывает процессы, файлы и соединения от ОС через DKOM, SSDT hooks и IDT manipulation. Memory forensics обнаруживает их, потому что работает с raw-данными, а не через API ОС. Сравнение pslist vs psscan, проверка SSDT и анализ callback-таблиц — три метода обнаружения rootkit.1 шагов
3.
Извлечение подозрительных файлов и артефактовИз дампа памяти можно извлечь исполняемые файлы, DLL, документы, скрипты и даже содержимое буфера обмена. filescan находит все открытые файлы, dumpfiles извлекает их содержимое. strings + YARA помогают найти пароли, URL, ключи шифрования и другие артефакты в сырых байтах.1 шагов
4.
Анализ реестра Windows из памятиРеестр Windows хранится в памяти как набор hive-файлов. Volatility 3 извлекает ключи Run/RunOnce (persistence), установленные сервисы, информацию о пользователях и хеши паролей. Реестр из памяти может содержать изменения, которых ещё нет на диске — malware часто модифицирует реестр в памяти.1 шагов
4.
Составление отчёта по результатам анализаОтчёт по memory forensics — это юридический документ, который объединяет все находки в связную историю инцидента. Структура: Executive Summary, Timeline, IOC-лист, техническая детализация, рекомендации. Каждый факт подкреплён командой Volatility 3 и её выводом. Отчёт должен быть понятен и CEO, и техническому специалисту.1 шагов
