《计算机取证与司法鉴定》课内研究学习报告课题名称：运用metasploit进行渗透攻击与取证施教单位：计算机学院网络工程系任课教员：任江春副教授授课学期：2013年秋季学期培养类型：军事指挥类所属学院：九院4-3队专业年级：网络工程专业2010级姓名学号：聂上入201009021018姓名学号吴殿元201009021030姓名学号宋轲轮201009021023姓名学号易春昇201009021037---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---实验概要实验目的：通过实验，实现从windows7到windowsxp系统的一次成功的渗透攻击，并在xp系统上进行取证。掌握对操作系统进行渗透攻击的一般方法，同时当自己遭遇渗透攻击或其他计算机领域的侵害时，能够掌握常用的取证办法。并能够对攻击进行取证。实验环境：Windows7操作系统主机一台，装有xp系统的一个virtualbox虚拟机，metasploits软件，内存管理专家（装在xp系统上）。实验原理：Metasploit是由HDMoore在2003年开发的一款开源的安全漏洞检测工具,用来进行网络安全中的漏洞发现、渗透攻击，IDS的识别标签等开发方面的开发工作。该工具在用户群和开发者中已以成倍的速度发展起来了，Metasploit为渗透测试者和研究员提供binaryexploitation,payloads和post-exploitationpayloads这样的一个高端平台。由开发商和社区所开发的Metasploit为一系列的操作系统，商业和开源软件提供exploit,一份exploit可以提供多种形式，但其最终目的仍然是明确的：控制程序执行流程。运用metasploit进行渗透攻击的主要原理就是利用各种操作系统中存在的漏洞如本地缓冲区溢出，堆污染，整数溢出或者格式串漏洞等进行攻击。在Metasploit宝库中的每一个exploit都提供很多的payload选项，payload实际上是以机器码的形式在受害者的机器上运行的。Payload可以简单地添加用户到系统中，或者将VNC服务注入到受害者电脑的进程中。因此，在进行取证时，我们需要对受害者系统内存中的进程进行分析。为了更为容易地访问物理内存，Windows公布一个名为\Device\PhysicalMemory的sectionobject。这个sectionobject一打开，应用程序即有一个指向物理内存的句柄。如果程序通过该句柄读取数据，那么它就会从物理内存中读取。在访问物理内存之前，Memoryze需要访问每一进程的虚拟地址空间。地址空间大小随着如线程，动态存储，栈，被加载的可执行文件等的内存需求而进行增减。WindowsMemoryManager(MM)管理着所有的这些信息，且是以二叉树的形式被管理的。在ExecutiveProcess(EPROCESS)结构当中一个名为---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---VadRoot(VirtualAddressDescriptorRoot)的成员变量刚好指向该二叉树的根。每一进程均含有EPROCESS结构，其包含有进程管理器需要用来管理进程的信息。二叉树的入口实际上是一个名为MemoryManagerVirtualAddressDescriptors(MMVAD)结构。该结构包含有与MM相关的信息，如被描述的内存段的虚拟内存基址和大小。若想查看MMVAD结构及其成员，可在windbg中输入dt_MMVAD的命令以显示此结构信息。通过以上命令可以显示MMVAD结构及其成员的偏移地址和大小。这里所讨论的技术和研究只是内存取证的一个开端，特别是如何更好地利用发现的人为产生的内存数据进行内存取证的技术。事实上，Windows内存管理器功能在释放内存页后，并没有马上清除，这对于取证分析很有帮助。这种行为也类似于传统文件系统取证。当一个文件被删除后，只是从链表中解链，但开始并没有被覆写，它允许分析人员在文件删除后数天之内进行数据恢复。这只是迈出了第一步，至少证明了在取证人员的工具箱中内存取证仍占有一席之地。在以后的研究当中，还有更多的工作要做，以便更好地了解释放内存的限制。当内存被释放时，它只是被标记为不可用而已，但这些内存页所包含的数据并没有被清除或清零。这也就意味着一名分析师可以追回和查看内存，并找到释放的内存页。Meterpreterpacket在内部调度，以指示正确地释放payload。Meterpreter将通过调用packet_transmit_response来响应TLV，它将调用packet_transmit。这个函数实际上是用于发送TLV回复...