deanmian/memory-forensics-analysis

# 内存取证分析 – 恶意软件事件调查 ## 概述 本项目展示了对 Windows 虚拟机进行的内存取证调查，该虚拟机在受控实验室环境中被有意感染。 该场景模拟了一次钓鱼事件，用户打开了伪装成 PDF 的恶意电子邮件附件，导致系统受损。 ⚠️ 本案例研究中使用的公司名称 (ETOLEPSED S.A.) 完全是虚构的，仅用于教育目的。 ⚠️ 所有分析均在隔离的学术环境中进行。 ## 场景 一名用户报告在打开通过电子邮件收到的 PDF 后出现可疑活动。不久之后，系统上观察到异常行为，包括潜在的未经授权的金融活动。 从受影响的机器获取了内存转储以进行取证分析。 ## 使用的工具 - Volatility 2 - pdfid.py - strings - xxd - 哈希工具 (MD5/SHA) - WHOIS 查询 - Kali Linux 分析环境 ## 方法 调查遵循标准的 DFIR 实践： 1. 通过哈希验证内存镜像完整性 2. 进程枚举与异常检测 3. 识别注入或可疑进程 4. 提取并检查可疑工件 5. 分析与感染链相关的临时文件 6. 对观察到的连接进行基础网络归属分析 ## 关键发现 - 向合法 Windows 进程进行进程注入的证据 - 从内存 (TEMP 位置) 恢复可疑的 PDF 相关工件 - 与钓鱼场景后的恶意软件执行一致的指标 - 通过连接分析识别出的网络指标 📄 仓库中提供完整的西班牙语技术报告。 ## 仓库内容 - `report.pdf` → 完整取证报告（西班牙语） - `images/` → 辅助截图和证据摘录 ## 说明 本项目是在学术数字取证模块内为教育和研究目的而开发的。 - 引用的组织 (ETOLEPSED S.A.) 是虚构的。 - 被分析的系统是受控实验室环境的一部分。 - 未涉及真实用户数据或生产系统。 - 不分发原始恶意软件样本或完整内存转储。 本仓库严格用于学习和作品集展示。 ## 作者 Daniel Demian 计算机工程专业学生 | 网络安全分析师新人

标签：Cloudflare, DAST, MITRE ATT&CK, Object Callbacks, PDF 漏洞利用, RFI远程文件包含, SecList, SSH蜜罐, Windows 安全, 二进制分析, 云安全运维, 云资产清单, 内存取证, 后渗透, 安全报告, 安全教育, 安全运营, 实验环境, 库, 应急响应, 恶意软件分析, 扫描框架, 数字取证, 无线安全, 案例分析, 漏洞分析, 生成式AI安全, 网络安全, 网络安全审计, 网络钓鱼, 自动化脚本, 虚拟机, 路径探测, 进程注入, 逆向工具, 逆向工程, 钓鱼邮件, 隐私保护