网络空间安全概论 实验9 内存取证实验样例2

实验二内存取证

一、实验目的

1、掌握通过命令指令取证，并熟悉基本的取证信息；

2、了解计算机系统取证基本方法,并结合Sysinternals工具进行取证;

二、实验内容

通过CMD和Sysinternals工具结合使用，从计算机内存中获得系统当前

时间日期，系统信息，handle,PsPasswd,listdlls,PsGetSid,Pslnfo,Pskill,

PsList,PsLoggedOn,PsLogList,PsService,PsShutdown,PsSuspcnd,PsFile,

arpfport,ipconfig,nbtstat,Netstat,SC,string等内存信息。

通过volati

三、实验步骤

下载sysinternals工具/zh-cn/sysinternals/；JfJu

运行键入“emd”结合sysinternals工具对系统进行取证。

四、实验操作内容

（一）、实验指导书部分

1、输入dale/t取证系统当前的日期

输入time/t获取系统当前时间

w如分徒小传

MicrosoftWindows10.0.19044.16451

(c)MicrosoftCorporation.保留所有权利。

C:\Users\REASON>date/t

2022/04/25周一

C:\Users\REASON>time/t

21:18

C:\Users\REASOM〉.

图2-1

2、利用取证软件里面的应用PsPasswd,可以进行账户密码等修改

：：\Usors\1957l\Dosktop\09193408>PsPasswd

sPasswdvl.24-Localandremotepasswordchanger

opyright(C)2003-2016NarkRussinovich

>ysinternaIs-www.sysinterna1s.com

MPaauwdchangespaaawarduonalocalorromotoayutom.

Jsaseforlocalaccounts：

pspasswd[\\[coi*v>ut^r[,conouter,C-uUsername[-pPassword]!]<Account>[NewPassv*

Jsasofordomainaccounts:

pspass^'d<Domain\Account>(NcwPassword]

conput9rConputerorconputwsonwhichthelocalaccountexists.If

youonitthoconsulornaaro.th©localconputerisassuznod.

Ifyouspecifyawildcard(\\*),PsPasswdrunsthe

concnandonallconputersinthecurrentdomainorworkgroup.

ariiQPsPassMrdwillchangethopasswordonthocoirputorslisted

inthofile.

-uSpecifiesoptionalusername?forIosintorecrotecomputer.

-pSpecificsoptionalpasswordforusernag.Ifyouondtthis

youwillboproir^todtoenterahiddenpass^rord.

-nobannex*Donoadi»y->1•bnrwk*ndRv»*arws«.

DomainSpecifiesnameofthedomainofthetargetaccount.

AccountSpocifias:nnmoofthoaccountforpasswordchange.

图2-2

3、Pslnfo用于收集有关本地或远程WindowsNT/2000系统的关键信息，包括

安装类型、内核生成、己注册的组织和所有者、处理器数量及其类型、物理内存

量、系统的安装日期，以及是否为试用版。

用法：psinfo[[\\computer[,computer]I©file[-u用户

[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]筛选器

'：\Users\19571\Desktop\09193408>psinfo“development-h-d

Pslnfovl.78-Localandremotesysteminformationviewer

jCopyright(C)2001-2016HarkRussinovich

jSysinternals-wvw.sysintemals.com

Connectingtode^elopnent...Cannotconnecttoremoteregistryondevelopment：

找不到网络路径。

.Couldnotconnecttodevelopment：

域不到网络路径。

jC：\Users\19571\Desktop\09193408>

图2-3

4、Autoruns查看在系统启动并登录时，哪些程序被配置为自动启动。

Autoruns.exe还显示了应用程序可在其中配置自动启动设置的注册表和文件位

置的完整列表。由于我是在虚拟机中进行的实验，所以有VMware软件。

©口Lo^cnMEipios6lnte<n«<Explore*QSchedJcdT«sks<ODfiwfi--

Autonjn*EntryDeKnptionlm»9«Path

90c

<HKCU\SOHWARE\Mcro*olt\Wrdow*\Curr»rtV«r»iofARuft

M»cro»oltOr«Drrr«(V«nl««4)Micro«o4lCcrpotat»c<i第71\AppO*teUcc4f\M<r0

1>xKLM$CFTWAA£\Mi.c^|^dc^gr«MV.2cfl-

0SVMw«r«U-TodtCoreS«fMC«(Vcrifitd)Inc.G^rogramR«t\VM**r«\VMwer«Tc

0VM3D$«nnc«(Vcnfwd)VM»«r«.Inc.C:\Wndom\«y«t»m3A*^3d»«rvKe.«i

■HKU^SVSTEM^Cur-o!S<CEroXBoc(W-X

小ndom.告4My(Venfitd)MicrotoflWirdowr*C:\^Mndom\«y«t0m32V>wd^M

<XKLM60FTWM£\Micr8cMzcMjpMMkdCompomnts

QQ^Mkrotdl“9«Mkr801t“中InstWtor(VenfUd)MicrotoflCcrpcfattcnJWro^amRs(«d6J\^<cro»cl(\E49

0KMicr©»olt.NETIESKURIIYR£GtSTIL.(VenlM)MctoMflCc<porM»o<iC：Wndom\Syttem»\fmcon^dl

A>xaWfCFTV,好m」'，cw64芸

叼“密rJwUpd“S<h»dJwaUpdateSc^«d^«f(Vcrilwd)Or«cUAmerica,kc.G^rogramRs(xdCACcmncnRet、

<嶷”>

图2-4

5、Handle这一方便的命令行实用程序将向你显示哪些进程打开了哪些文件，可

以看到程序自身的打开文件对的信息，将存放的桌面文件夹09193408打开了。

lolfeoCoreVorker.exepid：2728\<unabletoopenprocess》

^ndlefexepid:2656[€SKT0P-N5iGQS\19571

~~444-^=-~~।________________________

94:File|£:gs巴s\l的71\?呼叫op\091934Q8

FC:FileC:\find(y*s\linSxS\xy6_jncrosoft.windows.connon-controls_6595b64144cc£Idf_5.82.19041.lllOj

34e38<0114d

iandle64.exepid:6380DE.SKTOP-N54WQS\19571

50:FileC:\Users\19571\Desktop\09193408

A4:FileC:\findo*s\IinSxS\and64-nicrosoft.windows.conron-controls_6595b64144cc£ldf.5.82.19041.Ill*

dlc7724431647

IBC:Section\¥ind<ws\7heae985259123

1C4:Section'Sessians\l\Iindcrrs\Thene975255251

1D4:FileC:\Iindcws\IinSxS\and64-nicrosoft.windows.confx»n-controls_6595b64144cc£ld£_6.0.19041.1110.

254171f9507e

2S8:FileC:\Iindars\Fants\StaticCache.dat

2A4:Section\Sessions\l\BaseNanecdbjects\windows_2hell_global.counters

图2-5

6、ListDLLs是一种实用程序，用于报告加载到进程中的D1L可以使用它来列

出加载到所有进程中的所有D11、特定进程或列已已加载特定DLL的进程。可

以看到程序OneDrive.exe所加载的动态链接库，如下图所示。

bneDrive.exepid:6092

l\Aj>pData\Local\licrosoft\0neDrive\OneDrive.exe"/background

paseSizePath

bx00000000626d00000x284000\Users\19571\AppData\Local\licros(ft\OwDriv9\OneDrive.exe

px000000002fld0000OxIf5000Windo^\SYSTEI32\ntdll.dll

px000000002ok0000OxboOOO\findo^\Systw»32\XEraEL32DLL

px000000002ccc00000x2c8000\V2ndo^\SySten32\KERNELBASE.dll

0x000000002•妁0000Oxla1000C\»indcn«\Systen32\USSR32.dll

3x000000002dla00000x22000C\¥indous\Systen32\win32u.dll

9x000000002e9200000x2b000C\¥indows\Systen32\GDI32.dll

9x000000002d090000OxlObOOOCWindows32ndi32ndi.dll

gnnnnnnnn2amoooOiAdonodi1

0x000000002cf900000x100000\findows\Systen32\ucrtbase.dll

0x000000002ee80000OxacOOO\findo^\Syste»32\ADVAPI32dll

0x000000002d9700000x9^000\lindow5\Systen32\»svcrt.dll

0x0000000029^800000x9b000\Vindow5\Sy5tw»32\s«chost.dll

0x000000002de800000x121000C\¥irxtows\Syzta»32\RPan4.dll

px000000002dn>00000x73£000C\¥indov«\Sy2te»32\S®l±32.dl1

t)x000000002dc9(XXX)0xl2a000C\findows\Systen32\ole32.dll

0x000000002ev200000x355000C\¥indow3\Systen32\cad>ase.dl1

fox000000002ef30000OxcdOOOC\findows\Systen32\0LEAlJT32dll

10x000000002c9900000x156000\Vindo«s\Systen32\CW*PT32.dl1

0x0000000D2di800000x55000\Vindo^\Systen32\SaVAPI.dll

0x0000000020»50000OxcOOO\»indo^\SYSTEI32\Secur32.dl1

0x0000000025^0000OxaOOO\Vindour：\SYSTEI32\VEKSI0N.dl1

图2-6

7.ipconfig一般用来检验人工配置的TCP/IP设置是否正确，可以看到主机的ip

为34,默认网关为

C:\Users\19571\Desktop\09193408>ipconfig

WindowsIP配置

以太网适配器EthernetO：

连

翥

盆定

DNs矗

矗:localdomain

本6

土:fe80::5898:f0ed；e769:89ed%4

"pv・

科•:

掩

I^p网•:192.163.204.134

无•:

网:

认

^・

•一:192,168.204.2

jC:\Users\19571\Desktop\09193408>,

图2-7

8.nbtstat用于查看在TCP/IP协议之上运行NetBIOS服务的统计数据，并可以

查看本地远程计算机上的NetBIOS名称列表

China,MultiprocessorFree

|C:\Users\19571\Desktop\09193408>Psinfo

Pslnfovl.78-Localandremotesysteminformationviewer

iCopyright(C)2001-2016MarkRussinovich

ISysinternals-ww.sysinternals.com

[Systeminformationfor\\DESKT0P-N54QGQS:

Uptime：0days0hours59minutes51seconds

Kernelversion:Windows10HomeChina,MultiprocessorFree

Producttype：Professional

Productversion：6.3

Servicepack：0

Kernelbuildnumber：19042

Registeredorganization：

Registeredowner：1957123520®qq.com

IEversion：9.0000

Systemroot：C:\Windows

Processors：2

Processorspeed:2.3GHz

Processortype：Intel(R)Core(TM)i7-10510UCPU@

Physicalmemory：230MB

Videodriver：VMwareSVGA3D

图2-11

12、PsList——显示处理程序和执行绪的相关资讯，使用命令PslistT将进程的信

息以树形打印出来，可以看到进程mcdge的Pid号为2148

5401312544419430334401923

winlogon616134275419430368482468

fontdrvhost7568532419430359963620

dwn9841315108541943036438892040

explorer4152865244541943038324857%8

|mscdgc2148Is1620419430312190834152

86081764194303195687120

idenlity_helper2UUU83494194303309649088

ireedge2140103994194303594203(096

msedge2740423541943032821210976

msedge319283254194303333129548

msedge402082684194303529241M96

ncsodge4344826841943035281216456

neodge65288226419430G206727256

needge6608424941943033283612324

trsedge664489193419430384282008

msedge7124892054194303192287152

jusched511b844b3lyyyo32^2

jucheck14448337287720139882688

SocurityHealthSystray586083174419430368321824

va3dsorvico59728192419430340321344

cod598881245419430313884-760

图2-12

13、PsKill——终止本机或远端处理程序，利用次命令关闭上一步查询到的medge

进行，输入命令pskill2148.进程成功被关闭，在界面上浏览器也成功被关闭。

:\Users\1957l\D9sktop\09193408>pski11.exe2148

"PsKillvl.16-Terminatesprocessesonlocalorremotesystems

Copyright(C)1999-2016MarkRuesinovich

SysinternaIs-

iProcess2148killed.I

C:\Users\19571\Dmsktop\09193408屋

图2-13

14、PsLoggcdOn——显示使用者登录至一个系统，可以看到用户上一次的登录时

间为4/1814：22：56

p:\Users\19571\Desktop\09193408>PsLoggedon.exe

PsLoggedonT.35-Seewho'sloggedon

Copyright(C)2000-2016MarkRussinovich

Sysinternals-www.sysinternals.com

fsersloggedonlocally：

2022/4/1814:22:56DESKT0P-N54QGQS\19571

IMUUllb!lblllggtillUHvidXbfbUlUCb!blldlbfb.

C:\Users\19571\Desktop\09193408>a

图2T4

15、PsService是用于Windows的服务查看器和控制器。与WindowsNT和

Windows2000资源工具包中包含的SC实用工具一样，PsService显示服务的

状态、配置和依赖项，并允许你启动、停止、暂停、恢复和重新启动服务。

SERVICEJWC:NlaSvc

DISPLAYFUVI:N^tvorkLosigAwareness

也是挹及整的触隹部?在此信息被修改时向程序发出通知，知里停止比服务,则配置信息可能不可用：知集禁用比服务・则显或

陆隹血度务的东有的标桥无W启动・

HPE:20"冏2_SHAR£』R0SSS

STATE:4RULING

(STOPPABLE.MH-PAUSABLB.IGW3RES_SHtm)OIN)

fIN32_EXIT_(X)DE:0(0x0)

SZRVICEJXIT.COOE:0(0x0)

OffiCKPOIlCr:0x0

lAlTJUKT:0R£

SERVICEJWtt:nsi

DISPLAYJUH：NetworkStoreInterfaceService

些避云面用甘科式国2堂奉送网络通知(例如漆加/昭际接口等)・停止此股务称导坟:失网络连接・如累禁用此服务，则显式依较比股

务的房有K他蜃务器修无法总办

TTPE:20»IK32_SHAKE_PROCZSS

STATE:4RUNNING

(STOPPABLE,M)T_PAUSABLE,IGWDRES.SHUTDOIN)

IIN32_EXIT_C0DE:0(0x0)

SSRVICEJX1T_COOE:0(0x0)

OffiCKPOlWT:0x0

fAIT_HINT：0ns

图2-15

16、PsLogList允许您在当前安全凭据集不允许访问事件日志的情况下登录到远

程系统，PsLogList从所查看的事件日志所所在在的的计计算算机机中中检检索索消消息息字字符符串串。

(487)ServiceControlManager

Typo：INFORMATION

CoaFutor：DESKTOP-N54JSQS

Tine:2021/4/2822:20:26ID7040

User:而AUimRimSYSTEI

PindarlodulwInstalla-座务的启动类型从按常启动更改为自动启动.

i486]licrosoft-fincJoM'S-finctowsUp-dateClient

Type:INFORIATION

Cc^utor：DeSKTOP-N54XGS

Ti«:2021/4/2322:19:45ID:

User:MTAUTH)RnY\SYSTEI

Kinder更新已开始下载更新。

l[485]Microsof•-IxnAcws-firrdow^UpdateClient

Type:INFORMATION

Ccaputer:DeSKTOP-N54XGS

Ti»>:2021/4/2822:19:45ID:

User：KTAUIH3RI1Y\SYSTEI

Vindc他更新已开始下载更新。

『c…・・■・m…

图2-16

17、PsShutdown——关机及选择重新启动电脑，可以看到该程序有许多参数可以

使用，如下所示。

：\Users\19571\Desktop\09193408>psshutdown.exe

rsShutdouT)v2.53-Shutdow,logoffandpowernanagelocalandremotesystems

Copyright(C)1999-2021BarkRussinovich

Sysinternals-uw.sysintemals.com

usage：

psshutdown-s|-r|-h|-d|-kl-a|-l|-o[-f][-c][-t[nn|h：mj][-vm][-e[u|p]：xx：yy]"message”][-u

word]][-ns][\\conputer(,conputert,...]l«file]

-aAbortashutdown(onlypossible曲il。countdownisinprogress)

-cAllwtieshutdowntobeabortedbytheinteractiveuser

-dSuspendthecomputer

-eShutdownreasoncode(availableonWindowsXPanchigher).

Specify'u'forunplannedand'p'forplanned

shutdownreasoncodes.

xxistiemajorreasoncodeGrustbelessthan256)

yyismminorreasoncode(nustbtlessthan65536)

-fForcesrunningapplicationstoclose

-hMirho「nopntar

-kPowerofftheconputer(rebootifpoweroffisnotsupported)

-1Lockthacomputer

Messagetodisplaytologgedonusers

-nSpecificstirooutinsecondsconnectingtorono”con«>uters

-oLogofftheconsoleuser

-pSpecificsoptionalpasswordforusernine.Ifyouondtthis

youwillbepronptedtoenterahiddenpassword.

-rRebootiftershutdown

________________ShutdownwithoutDQggroff________________________________________________________________________

图2-17

18、PsSuspend使你可以挂起本地或远程系统上的进程，这在进程使用资源（例

如网络、CPU或磁盘）你要允许不同进程使用的情况下是必需的。挂起操作允

许在稍后某个时间点继续操作，而不是终止占用资源的进程。先查询某个进程的

Pid,然后使用该命令挂起。如下所示，挂起一个浏览器：

14111641943036789689804

65244541943036519656012

nsedge47765981722419430312214436056

msedge376207419430375721944

183474194303309289060

215

90028041943036307620492

2210

494838741943033433211300

40329

皴1694194303178287024

47

51984194303173886920

51524141943033226011912

452322419430310181642300

57216

5鬻11626541943035148816272

528741943036651622880

1921684194303180567032

6252

63241241943037059642028

69001462184194303191927052

5116326541943035135216220

4443

1皴449166963288

jucheck53726192268G

•curityHealthSystray174419430348321824

5鬣

□dservice592419430323921344

d245419430379923760

3膘

pslist621778802796

conhost62704194303185247796

60926834194303741620780

6414194303840416280

图2-18

执行之后，效果如下，然后浏览器怎么点击都没用。

C:\Users\1957l\Desktop\09193408>pssuspend.exe4776

PsSuspendvl.07