Криминалистика компьютерной памяти на практике: Как эффективно анализировать оперативную память

Светлана Островская, Олег Скулкин

Криминалистика 
компьютерной памяти 
на практике

Practical Memory 
Forensics

Jumpstart effective forensic analysis 
of volatile memory

Svetlana Ostrovskaya 
Oleg Skulkin

BIRMINGHAM—MUMBAI

Криминалистика 
компьютерной памяти 
на практике

Как эффективно анализировать 
оперативную память

Светлана Островская 
Олег Скулкин

Москва, 2023

УДК 004.056
ББК 16.8
О76

Редактор:
Островская Светлана – ведущий специалист по реагированию на инциденты 
и компьютерной криминалистике в Group-IB.

Светлана Островская, Олег Скулкин
О76 Криминалистика компьютерной памяти на практике: Как эффектив-

но анализировать оперативную память  / авторизован. пер.  с  англ. 
А. А. Слинкина. – М.: ДМК Пресс, 2023. – 256 с.: ил.

ISBN 978-5-93700-157-3

Книга знакомит читателя с современными концепциями активного 
поиска угроз и исследования передового вредоносного ПО с применением 
свободно распространяемых инструментов и фреймворков для 
анализа памяти. В издании принят практический подход, используются 
образы памяти из реальных инцидентов. Прочтя книгу, вы сможете 
самостоятельно создавать и анализировать дампы памяти, изучать действия 
пользователя, искать следы бесфайловых атак и реконструировать 
действия злоумышленников.
Издание адресовано специалистам по реагированию на инциденты, 
аналитикам кибербезопасности, системным администраторам, а также 
может быть полезно студентам вузов и инженерам из смежных областей.

УДК 004.056
ББК 16.8

First published in the English language under the title ‘Practical Memory Forensics – 
(9781801070331)’

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой 
бы то ни было форме и какими бы то ни было средствами без письменного разрешения 
владельцев авторских прав.

Copyright ©Packt Publishing 2022
© Оформление, издание, перевод, ДМК Пресс, 2022
ISBN (анг.) 978-1-80107-033-1
ISBN (рус.) 978-5-93700-157-3

Написание этой книги было очень увлекательным и сложным путешествием, 
и я искренне благодарна своей семье, друзьям и коллегам – всем, кто верил 
в меня и поддерживал всеми возможными способами. Отдельное спасибо моему 
другу и коллеге Олегу, который одним прекрасным зимним днем предложил мне 
написать книгу, положив начало этому путешествию.
– Светлана Островская

Я благодарен команде издательства Packt за эту возможность и, конечно, 
Светлане, принявшей этот вызов, – словами не выразить, как я рад, что в моей 
команде есть такие талантливые люди.
– Олег Скулкин

Оглавление

Предисловие от издательства ........................................................ 11
Отзывы и пожелания ........................................................................................11
Список опечаток ...............................................................................................11
Нарушение авторских прав .............................................................................11

Об авторах ......................................................................................... 12

О рецензентах ................................................................................... 13

Предисловие ...................................................................................... 14
Целевая аудитория ...........................................................................................14
Структура ..........................................................................................................14
Как извлечь максимум пользы из этой книги ................................................15
Скачайте цветные изображения .....................................................................16
Условные обозначения .....................................................................................16
Оставайтесь на связи ........................................................................................16
Поделитесь своими мыслями ..........................................................................17

ЧАСТЬ I. ОСНОВЫ КРИМИНАЛИСТИКИ ПАМЯТИ .............. 19

Глава 1. Зачем нужна криминалистика памяти? ......................... 21
Основные преимущества криминалистики памяти ......................................22
Без следов ......................................................................................................22
Найди меня в памяти ...............................................................................22
Фреймворки ..............................................................................................23
Living off the land ......................................................................................24
На страже конфиденциальности .................................................................24
Цели и методы исследования ..........................................................................25
Устройство потерпевшего ............................................................................25
Устройство подозреваемого ........................................................................26
Сложности исследования памяти ....................................................................26
Инструменты ................................................................................................26

Критические системы ..................................................................................26
Нестабильность .............................................................................................27
Кратко ................................................................................................................27

Глава 2. Создание дампов памяти  ................................................. 28
Введение в управление памятью ....................................................................28
Адресное пространство ................................................................................28
Виртуальная память .....................................................................................29
Разбиение на страницы ...............................................................................29
Разделяемая память .....................................................................................30
Стек и куча ....................................................................................................31
Анализ живой памяти ......................................................................................32
Windows .........................................................................................................32
Linux и macOS ...............................................................................................34
Создание полного и частичного дампа памяти .............................................34
Популярные инструменты и методы создания дампов ................................36
Виртуально или физически .........................................................................36
Локально или удаленно ................................................................................37
Как выбрать ...................................................................................................38
О времени .....................................................................................................38
Кратко ................................................................................................................39

ЧАСТЬ II. КРИМИНАЛИСТИКА ПАМЯТИ В WINDOWS ...... 41

Глава 3. Создание дампа памяти в Windows ................................ 43
Трудности создания дампов памяти в Windows.............................................44
Подготовка к созданию дампа памяти в Windows .........................................44
Создание дампа памяти с помощью FTK Imager............................................45
Создание дампа памяти с помощью WinPmem .............................................48
Создание дампа памяти с помощью Belkasoft Live RAM Capturer ................50
Создание дампа памяти с помощью  
Magnet RAM Capture .........................................................................................53
Кратко ................................................................................................................54

Глава 4. Реконструкция пользовательской активности .............. 55
Технические требования ..................................................................................56
Анализ запущенных приложений ...................................................................56
Введение в Volatility .....................................................................................56
Идентификация профиля ............................................................................57
Поиск активных процессов ..........................................................................58
Поиск завершившихся процессов ...............................................................59
Поиск открытых документов ...........................................................................62
Документы в памяти процессов ..................................................................62
Исследование истории браузера .....................................................................64
Анализ Chrome с помощью плагина yarascan ............................................65
Анализ Firefox с помощью Bulk Extractor ...................................................66
Анализ Tor с помощью Strings .....................................................................69

Оглавление  7

Исследование коммуникационных приложений ...........................................70
Почта, почта, почта ......................................................................................71
Мессенджеры ................................................................................................72
Восстановление паролей пользователя ..........................................................74
Hashdump ......................................................................................................74
Cachedump .....................................................................................................74
Lsadump .........................................................................................................75
Пароли в открытом виде ..............................................................................75
Обнаружение криптоконтейнеров ..................................................................76
Следы пользовательской активности в реестре .............................................80
Виртуальный реестр .....................................................................................80
Установка MemProcFS...................................................................................81
Работа с реестром Windows .........................................................................82
Кратко ................................................................................................................87

Глава 5. Поиск следов вредоносных программ и их анализ ..... 88
Поиск вредоносных процессов ........................................................................88
Имена процессов ..........................................................................................89
Обнаружение аномального поведения .......................................................90
Анализ аргументов командной строки ...........................................................94
Аргументы командной строки процессов ..................................................95
История команд ............................................................................................96
Исследование сетевых соединений .................................................................99
Процесс-инициатор....................................................................................100
IP-адреса и порты .......................................................................................102
Обнаружение внедрения кода в память процесса .......................................104
Внедрение DLL ............................................................................................104
Удаленное внедрение DLL .....................................................................104
Рефлексивное внедрение DLL................................................................107
Внедрение переносимых исполняемых файлов ......................................110
Внедрение в пустой процесс ......................................................................113
Процесс-двойник ........................................................................................115
Поиск следов закрепления .............................................................................118
Автозапуск при загрузке или входе в систему .........................................118
Создание учетной записи ..........................................................................120
Создание или изменение системных процессов .....................................122
Запланированная задача ...........................................................................124
Построение таймлайна ..................................................................................126
Таймлайн на основе файловой системы ...................................................126
Таймлайн на основе памяти ......................................................................128
Кратко ..............................................................................................................129

Глава 6. Альтернативные источники  
энергозависимых данных .............................................................130
Исследование файлов гибернации ................................................................130
Получение файла гибернации ...................................................................131
Анализ файла hiberfil.sys ............................................................................135

8  
Оглавление

Изучение файлов подкачки ...........................................................................138
Получение файлов подкачки .....................................................................138
Анализ pagefile.sys ......................................................................................140
Поиск по строкам .......................................................................................141
Карвинг файлов ..........................................................................................145
Анализ аварийных дампов ............................................................................149
Создание аварийного дампа ......................................................................151
Имитация отказа системы .........................................................................152
Создание дампа процесса ..........................................................................152
Анализ аварийных дампов ........................................................................155
Аварийные дампы системы ...................................................................156
Анализ дампа процесса ..........................................................................159
Кратко ..............................................................................................................162

ЧАСТЬ III. КРИМИНАЛИСТИКА ПАМЯТИ В LINUX ...........163

Глава 7. Создание дампа памяти в Linux .....................................165
Трудности создания дампов памяти в Linux ................................................166
Подготовка к созданию дампа памяти в Linux .............................................166
Создание дампа памяти с помощью LiME ....................................................168
Создание дампа памяти с помощью AVML ...................................................170
Создание профиля Volatility ..........................................................................171
Кратко ..............................................................................................................174

Глава 8. Реконструкция действий пользователя .......................176
Технические требования ................................................................................176
Исследование запущенных программ ..........................................................177
Анализ истории Bash ......................................................................................180
Поиск открытых документов .........................................................................181
Восстановление файловой системы ..............................................................183
Проверка истории браузера ...........................................................................189
Изучение коммуникационных приложений ................................................192
Поиск примонтированных устройств ...........................................................194
Обнаружение криптоконтейнеров ................................................................197
Кратко ..............................................................................................................198

Глава 9. Обнаружение вредоносной активности .......................200
Исследование сетевой активности ................................................................201
Анализ вредоносной активности ..................................................................206
Изучение объектов ядра .................................................................................219
Кратко ..............................................................................................................222

ЧАСТЬ IV. КРИМИНАЛИСТИКА ПАМЯТИ В MACOS ..........223

Глава 8. Создание дампа памяти в macOS ..................................225
Трудности создания дампов памяти в macOS ..............................................226
Подготовка к созданию дампа памяти в macOS ...........................................226

Оглавление  9

Создание дампа памяти с помощью osxpmem .............................................228
Создание профиля Volatility ..........................................................................232
Кратко ..............................................................................................................235

Глава 11. Обнаружение и анализ вредоносной активности 
в macOS.............................................................................................236
Особенности анализа macOS с помощью Volatility ......................................237
Технические требования ................................................................................237
Исследование сетевых соединений ...............................................................237
Анализ процессов и их памяти ......................................................................240
Восстановление файловой системы ..............................................................242
Получение данных из пользовательских приложений ................................245
Поиск вредоносной активности ....................................................................247
Кратко ..............................................................................................................250

Предметный указатель ..................................................................252

10  
Оглавление

Предисловие от издательства

Отзывы и пОжелания

Мы всегда рады отзывам наших читателей. Расскажите нам, что вы думаете об 
этой книге – что понравилось или, может быть, не понравилось. Отзывы важны 
для нас, чтобы выпускать книги, которые будут для вас максимально полезны.
Вы можете написать отзыв на нашем сайте www.dmkpress.com, зайдя на страницу 
книги и оставив комментарий в разделе «Отзывы и рецензии». Также 
можно послать письмо главному редактору по адресу dmkpress@gmail.com; 
при этом укажите название книги в теме письма.
Если вы являетесь экспертом в какой-либо области и заинтересованы в издании 
новой книги, заполните форму на нашем сайте по адресу http://dmkpress.com/
authors/publish_book/ или напишите в издательство по адресу dmkpress@gmail.com.

СпиСОк ОпечатОк

Хотя мы приняли все возможные меры для того, чтобы обеспечить высокое 
качество наших текстов, ошибки все равно случаются. Если вы найдете ошибку 
в одной из наших книг – возможно, ошибку в основном тексте или программном 
коде, – мы будем очень благодарны, если вы сообщите нам о ней. Сделав 
это, вы избавите других читателей от непонимания текста и поможете нам 
улучшить последующие издания этой книги.
Если вы найдете какие-либо ошибки в коде, пожалуйста, сообщите о них 
главному редактору по адресу dmkpress@gmail.com, и мы исправим их в следующих 
тиражах.

нарушение автОрСких прав

Пиратство в сети Интернет по-прежнему является насущной проблемой. Издательство «
ДМК Пресс» очень серьезно относится к вопросам защиты авторских 
прав и лицензирования. Если вы знаете о незаконной публикации какой-либо 
из наших книг в сети Интернет, пожалуйста, пришлите нам ссылку на интернет-
ресурс, чтобы мы могли применить санкции.
Ссылку на подозрительные материалы можно прислать по адресу dmkpress@
gmail.com.
Мы высоко ценим любую помощь по защите наших авторов, благодаря которой 
мы можем предоставлять вам качественные материалы.

Об авторах

Светлана Островская – ведущий консультант по компьютерной криминалистике 
и реагированию на инциденты в компании Group-IB, одной из глобальных 
лидеров в области предотвращения и расследования высокотехнологичных 
преступлений и онлайн-мошенничества. Помимо активного участия 
в реагировании на инциденты, Светлана имеет богатый опыт преподавания 
в различных регионах, включая Россию, страны СНГ, Ближний Восток, Африку, 
Европу и страны Азиатско-Тихоокеанского региона. Она является соавтором 
статей по информационной безопасности и компьютерной криминалистике, 
а также ряда учебных программ, в т. ч. по криминалистике оперативной памяти, 
криминалистике Linux, криминалистике Windows, реагированию на инциденты 
и проактивному поиску угроз.

Олег Скулкин – руководитель лаборатории цифровой криминалистики и исследования 
вредоносного кода в компании Group-IB. Олег более десяти лет 
занимался компьютерной криминалистикой и реагированием на инциденты, 
киберразведкой и исследованием угроз. Является автором и соавтором многочисленных 
публикаций, а также регулярно выступает на отраслевых конференциях. 
Сертифицирован GIAC GCFA (сертифицированный специалист по 
цифровой криминалистике) и GCTI (сертифицированный специалист по ки-
берразведке).

О рецензентах

Рохит Тамма – старший руководитель программы, сотрудник Microsoft. Более 
10 лет работает в области безопасности, занимался менеджментом и консультированием 
в области безопасности приложений и облаков, безопасности 
мобильных устройств, тестирования на проникновение и безопасного кодирования. 
Рохит является соавтором книги «Learning Android Forensics», изданной 
Packt, где рассказывает о различных способах компьютерно-технической 
экспертизы на мобильных платформах. Связаться с ним можно через аккаунт 
в Твиттере @RohitTamma.

Игорь Михайлов занимается компьютерно-технической экспертизой уже 
21 год. За это время посетил множество семинаров и учебных курсов в ведущих 
компаниях (в т. ч. Guidance Software, AccessData и Cellebrite) и отделах 
КТЭ в государственных организациях в России. Обладает опытом и навыками 
проведения КТЭ, реагирования на инциденты, КТЭ сотовых телефонов, КТЭ 
уничтоженных устройств, КТЭ вредоносных программ, восстановления данных, 
анализа цифровых образов, КТЭ видеозаписей, анализа больших данных 
и т. д. Принимал участие в проведении нескольких тысяч компьютерно-технических 
экспертиз. В работе применяет передовые инструменты и методы глубокого 
анализа. Использует программы и оборудование для КТЭ от ведущих 
отраслевых компаний. Написал три пособия по КТЭ сотовых телефонов и реагированию 
на инциденты на русском языке. Был рецензентом книги «Windows 
Forensics Cookbook» Олега Скулкина и Скар де Курсье, изданной Packt.

Предисловие

Криминалистика памяти – эффективный метод анализа, применимый в различных 
областях, от реагирования на инциденты до анализа вредоносного ПО. 
Для опытного специалиста память – важный источник ценных данных. Криминалистика 
памяти дает информацию о контексте, в котором работал пользователь, 
позволяет находить следы вредоносных программ, а в некоторых 
случаях еще и дает возможность собрать все кусочки головоломки и раскрыть 
сложную целевую атаку.
Авторы познакомят вас с основными концепциями криминалистики памяти, 
после чего постепенно перейдут к более сложным вопросам активного поиска 
угроз и исследования вредоносных программ с применением свободно 
распространяемых инструментов и фреймворков для анализа памяти. В книге 
принят практический подход и используются дампы памяти из реальных инцидентов. 
Это позволит лучше понять предмет и выработать навыки, необходимые 
для исследования и реагирования на инциденты, связанные с вредоносной 
активностью и сложными целевыми атаками. В книге затрагиваются 
вопросы внутреннего устройства Windows, Linux и macOS, а также обсуждаются 
методы и инструменты для обнаружения, исследования  и активного поиска 
угроз с помощью криминалистики памяти.
Прочитав книгу, вы будете хорошо подкованы в вопросах криминалистики 
оперативной памяти и получите практический опыт использования необходимых 
техник и инструментов. Вы сможете самостоятельно создать и проанализировать 
дампы памяти, изучить действия пользователя, обнаружить следы 
бесфайловых вредоносных программ и установить действия, выполненные 
злоумышленниками.

Целевая аудитОрия

Эта книга ориентирована на специалистов по реагированию на инциденты 
и компьютерной криминалистике, на специалистов по кибербезопасности, системных 
администраторов, исследователей вредоносного ПО, студентов и энтузиастов, 
интересующихся исследованием оперативной памяти. Предполагается 
наличие базового понимания принципов работы вредоносных программ. 
Знание внутреннего устройства операционных систем будет полезным, но 
не является обязательным. В целом тем, рассмотренных в данной книге, будет 
вполне достаточно для начинающих.

Структура

В главе 1 «Зачем нужна криминалистика памяти?» объясняется, почему криминалистика 
памяти является неотъемлемой частью исследования многих современных 
компьютерных инцидентов. На реальных примерах описываются 

основные цели и методы исследования, применяемые специалистами по компьютерной 
криминалистике и реагированию на инциденты (DFIR), а также обсуждаются 
проблемы, с которыми они сталкиваются в повседневной работе.
В главе 2 «Создание дампов памяти» вы познакомитесь с основными методами 
и инструментами получения дампов оперативной памяти и связанными 
с этим проблемами. Кроме того, вы узнаете о плюсах и минусах анализа памяти «
вживую» и дампов.
В главе 3 «Создание дампа памяти в Windows» обсуждаются соответствующие 
инструменты и их подходы к работе с памятью Windows. Даются советы 
по выбору подходящего инструмента и рассматриваются примеры их работы.
Методики, рассматриваемые в главе 4 «Реконструкция пользовательской 
активности», во многих случаях имеют первостепенное значение, потому что 
позволяют лучше понять, что происходит. Описываются методы, основанные 
на анализе не только активных процессов и сетевых соединений, но и частей 
реестра Windows и файловой системы, находящихся в памяти.
В главе 5 «Поиск следов вредоносных программ и их анализ» речь идет 
о том, что современные вредоносные программы стараются оставлять как 
можно меньше следов на диске, и именно поэтому анализ памяти становится 
критически важным элементом исследования. Объясняется, как искать следы 
вредоносных программ в памяти процессов, в реестре Windows, в журналах событий 
и в частях файловой системы, находящихся в памяти.
В главе 6 «Альтернативные источники энергозависимых данных» отдается 
должное тому факту, что не всегда возможно создать дамп памяти для анализа, 
однако всегда есть шанс найти часть энергозависимых данных на диске. 
Рассматриваются альтернативные источники таких данных в Windows, а также 
инструменты и методы их анализа.
В главе 7 «Создание дампа памяти в Linux» демонстрируются основные различия 
между процессами создания дампов памяти в Windows и Linux. Описывается 
конфигурирование инструментов для Linux и примеры их применения.
Глава 8 «Реконструкция действий пользователя» посвящена процессу реконструкции 
действий пользователя в системах на базе Linux, который несколько 
отличается от такового в Windows. Описаны способы выявления действий 
пользователя по дампам памяти Linux.
Главной темой главы 9 «Обнаружение вредоносной активности» являются методы 
поиска следов вредоносной активности в системах на базе Linux и ее анализ.
В главе 10 «Создание дампа памяти в MacOS» рассматриваются инструменты 
создания дампа памяти macOS, так что в итоге вы будете знать о техниках 
снятия дампов памяти со всех популярных операционных систем.
Глава 11 «Обнаружение и анализ вредоносной активности в macOS» посвящена 
исследованию действий пользователя, а также поиску и анализу следов 
вредоносной активности в памяти macOS.

как извлечь макСимум пОльзы из этОй книги

Мы старались описывать все подробно и проводить читателя шаг за шагом по 
всему процессу. Поэтому вам понадобится только компьютер или виртуальная 
машина с установленными Windows и Linux.

Предисловие  15