Metasploit是一个十分受欢迎的浸透测验结构，被视为安全测验人员手中的一把利器。但在另一方面由于他过于强壮，因而也常常被一些歹意攻击者所运用。当然，在本文咱们首要评论的是关于内存取证，这对于咱们来说是至关重要的。由于咱们（受害者）的机器极有或许会被歹意攻击者，注入Meterpreter（一种先进的，可动态扩展的Metasploit有效载荷），这是一种彻底驻留在内存中的shell，而且不会向受害者的驱动器写入任何内容。下面，我将向你展现怎么运用取证结构Volatility来找出Metasploit的蛛丝马迹。
在剖析内存镜像时，首要咱们应该搜集有关操作体系的信息，以挑选正确的Volatility配置文件。更佳做法是在内存镜像时记载体系版别，由于Volatility检测成果或许会有误。假如你是从第三方取得的镜像而且版别不知道，那么我主张你运用imageinfo插件：

以上的检测成果显现，该镜像的体系版别为Windows 7 SP1 x86，这次的成果十分精确我的体系版别的确为该版别。咱们运用pslist插件，来查看下进程列表：

你有发现什么不对的当地吗？一个PID 3000的进程，用户或许发动了防病毒更新进程？但奇怪的是，该进程在发动42秒后退出。让咱们运用netscan插件进一步的查下 *** 衔接状况：

能够看到，一个不知道的进程与192.168.1.39:4444建立了衔接。有经历的人一眼就能反应出，4444端口Metasploit的默许回连端口。Meterpreter注入方针体系进程，让咱们测验运用malfind插件找到它：

这看起来Meterpreter像是被搬迁到了PID为3312的svchost.exe上。让咱们将它转储到一个文件，并运用杀毒软件查杀看是否能被正确辨认：


从检测成果中咱们能够看到，尽管不是百分百的免杀，但大部分杀毒软件包含许多干流的杀毒软件，如McAfee，Malwarebytes，DrWeb等，居然都没有检测出该歹意进程。
假如你喜爱运用YARA规矩进行歹意软件检测，那么你能够编写自己的规矩或在线查找一些规矩，然后运用yarascan插件：

在这儿我写了一个十分简易的规矩：

现在让咱们回到之前的pslist输出，能够看到这儿仅有运转的Web阅读器是Internet Explorer（iexplore.exe，PID 2568和2640）。咱们运用iehistory插件来查看下前史阅读记载：

没错！受害者运用咱们看到的URL从服务器下载了一个名为antivirus_update.exe的程序。但这儿我有个疑问，是什么促进他们这么做的呢？让咱们用memdump插件转储Internet Explorer的进程内存并搜索“antivirus”字符串：

正如你所看到的，攻击者运用了一些社工技巧以及将地址做了短网址处理，从而使受害者上圈套。当受害者下载并运转文件后，攻击者就会取得一个meterpreter session。为了愈加的荫蔽，攻击者将其搬迁到了svchost.exe（PID 3312）。
这儿我还有个疑问，受害者真的运转了它吗?让咱们找到履行的依据！首要，咱们运用shimcache插件，它能够盯梢应用程序的最近修正时刻，文件完好途径和履行标志：

能够看到文件的确被履行了！让咱们持续，运转userassist插件获取注册表上的依据：

除了以上的 *** ，还有一些其它手法例如，预取文件。当然，你也能够在内存中找到这些依据，Volatility甚至有一个插件–prefetchparser。

[1] [2]  黑客接单网