FireEye：运用顺序兼容性缓存的考察

简介

windows应用顺序兼容性缓存剖析受到一限制：缓存中的数据是唯一在体系关机或从新启动的时间序列化到注册表。为什么这个限制会如此重要?

因为为了解析应用顺序兼容性缓存如今的东西都依赖于在windows注册表中找到的序列化高速缓存，这意味着该数据只有在近期从新启动体系时才是最新的。包括美国麦迪安网路安全公司自身的Shim缓存解析器以及内存剖析框架都依赖于在内存中找到的windows注册表副本。

目前的东西留给研究者只有两个选择：从新启动体系强制高速缓存——这可能会破坏其他的证据，或在体系从新启动时限制研究者数据剖析。解决这个问题的方法就是直接从内核内存剖析应用顺序兼容性缓存。

本文将介绍应用顺序兼容性缓存的内存结构，它允许对已经履行的近期最少应用算法(LRU)应用顺序进行实时检索。还将引入一个Volatility插件(ShimCacheMem)实现基于内存结构的实时应用顺序兼容性缓存检索。我们将会用一个歹意软件生成并运行其它的歹意顺序的例子来说明。

应用顺序兼容性缓存

随着windows操作体系的升级，一些功能也在不断改变，可是这可能会影响一些顺序的履行。为了减轻这种问题，Microsoft引入了Shim Infrastructure用于应用顺序的特定版本的修复，现在被称为“shims”。

应用顺序兼容性缓存或Shim缓存是windows操作体系应用顺序兼容性模块的一部分，以快速确定由于兼容性问题需要shimming的应用顺序。

它存储在内核里并且在关机的时间序列化到注册表。在Windows 10里，序列化也是发生在从新启动的时间。

举个例子

在这个例子中，一个歹意发射器软件发出一个HTTP请求到一个网站而后下载一个可履行文件保存到磁盘并履行以检索CNC服务器的URL。

图1：在履行前该发射器出现在Temp文件夹中

图2：发送HTTP请求到一个网站以获取CNC服务器的URL

图3显示了可履行文件被成功下载后Temp文件夹的内容;注意下载的文件的名字——0CD8，是随机生成的：

在履行其功能之前磁盘上的发射器被删除而后下载好的可履行文件开始运行。

图4：发射器软件已被删除：

如果没有一个文件监控顺序，这个详细信息可能会在体系的取证调查过程中被错过。

如前面所述，研究者可以reboot体系并应用该Shim缓存剖析器东西剖析注册表中序列化的应用顺序兼容性缓存。或者从内核内存获取内存转储并应用ShimCacheMem插件直接剖析应用顺序兼容性缓存。

图5展示了在IntelRC.exe歹意软件履行之前ShimCacheMem Volatility插件的输出;注意看该歹意软件还没有履行。

图6展示了ShimCacheMem Volatility插件在IntelRC.exe歹意软件履行后的输出。列表中的顺序供给了实际的履行顺序，第1项是最近履行的应用顺序。看第4项，IntelRC.exe，它在第1项中下载的歹意软件是0DE9.exe。尽管实际上有些文件已经从磁盘删除了，但是ShimCacheMem Volatility插件还是识别出了在感染的体系上履行歹意软件。

结论

应用顺序兼容性缓存供给了文件履行的有利证据。然而，因为缓存只是加载到注册表在体系关机或从新启动，现有的东西还没有办法供给查看最近的缓存数据。不过应用shimcachemem Volatility插件可以在无论何时重启体系的情况下最快地看到缓存。

转载自:https://netsecurity.51cto.com/art/201510/495657.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《FireEye：运用顺序兼容性缓存的考察》
本文地址：https://www.zhiletu.com/archives-5149.html
关注公众号：