使用windbg从powershell的dump文件提取命令记录，用于恶意行为分析

译自：https://www.leeholmes.com/extracting-activity-history-from-powershell-process-dumps/

假设正在调查一个被黑客使用powershell入侵的系统，而这个系统的powershell的日志功能被停用了，而手上只有一个powershell进程的dump文件。该怎么办？

dump文件是取证黄金，而windbg的托管代码调试扩展（“SOS”--Strike之子）可以用来研究它。

在菜单选中打开dump文件，可以看到

执行如下操作，加载SOS

.loadby sos clr
.symfix
.reload

使用!help命令可以看到 SOS CLR调试扩展所有特性，其中一个很有用的命令是!DumpHeap，用来枚举托管内容所有对象，并且可以根据类型过滤。

Powershell把命令历史记录在HistoryInfo对象，使用!DumpHeap –Type HistoryInfo看一下，如果有报错，重新操作一下。

可以看到有6条HistoryInfo（黑客执行的命令），有7组HistoryInfo（内部数据）。堆是包含暂时在用的数据，所以不是所有都表示唯一的命令。

点击HistoryInfo的MT列，可以知道对象的类型。然后再点击出来的地址，就可以看到HistoryInfo对象的内容。这些点击操作其实就是下图windbg下两条命令!DumpHeap /d -mt 00007ff8a140be70和!DumpObj /d 0000024226256100

有一个偏移量为8的字符串的名称叫_cmdline，使用!DumpObj /d 0000024226255a30看一下内容

可以看到是执行whoami命令。

手工一个个地看HistoryInfo很费事，使用windbg的脚本语言来看。

.foreach (historyinfo { !dumpheap -type HistoryInfo -short }) { .echo ${historyinfo}; !DumpObj poi(${historyinfo}+8) }

对!dumpheap的结果遍历，把每个内存地址分配给historyinfo变量，再打印这个变量内容，使用poi函数计算_cmdline的地址，然后使用!dumpobj把_cmdline内容打印出来。

可以看到，攻击者使用whoami获取管理域的用户密码，再使用powershell远程连接域控。