如果已知恶意进程在内存中运行，但是没有明显网络活动、并且无法确定落地时间、启动时间的情况，可以通过在内存中搜索特征字符串进行定位。

Linux

这里记录一个较为好用的工具：Dismember

项目地址：https://github.com/liamg/dismember/tree/main

工具设计之初是为了在内存中查找密钥等敏感信息，支持正则，同样可以用于定位恶意进程

1.在某个PID中查找特征字符串

# search memory owned by process 1234
dismember grep -p 1234 'the password is .*'

2.在某个进程中查找特特征字符串

# search memory owned by processes named "nginx" for a login form submission
dismember grep -n nginx 'username=liamg&password=.*'

3.在所有进程中查找特征字符串

# find a github api token across all processes
dismember grep 'gh[pousr]_[0-9a-zA-Z]{36}'

4.在所有进程中自动搜索密钥

# search all accessible memory for common secrets
dismember scan

在当前场景下，主要用到dismember grep功能。例如已经知道恶意域名为‘evil.com’,或者已经知道恶意IP为’123.123.123.123’，恶意进程往往已经将域名或IP加载到内存。使用以下命令

#搜索域名、
dismember grep 'evil.com'
#搜索IP
dismember grep '1.1.1.1'
#在所有进程中搜索所有IP地址
dismember grep '(((\d)|([1-9]\d)|(1\d{2})|(2[0-4]\d)|(25[0-5]))\.){3}((\d)|([1-9]\d)|(1\d{2})|(2[0-4]\d)|(25[0-5]))'

Windows

在Windows中，有多个工具可以用于该工作：

• • https://github.com/BinaryDefense/YaraMemoryScanner

• • https://github.com/mlcsec/proctools

• • https://edr.sangfor.com.cn/#/introduction/all_tools

• • https://github.com/BinaryDefense/YaraMemoryScanner

• • https://github.com/nccgroup/memscan

经过测试、效果最好的还是深信服发布的僵尸网络查杀工具。项目地址

• • https://edr.sangfor.com.cn/#/introduction/all_tools

所见即所得、直接查找特征字段即可。