发布日期：2025年8月5日

英文版本地址：ee8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6r3!0J5k6g2)9J5k6h3y4W2M7X3u0W2M7X3!0Q4x3X3g2A6L8#2)9J5c8Y4y4@1j5i4c8A6j5#2)9J5c8X3A6G2N6i4u0F1j5h3I4Q4x3V1k6U0k6i4u0T1k6i4u0G2i4K6g2X3K9X3!0#2M7X3&6S2L8q4)9#2k6X3W2K6M7%4g2W2i4K6g2X3y4W2)9J5k6i4m8V1k6R3`.`.

本期我们将介绍新推出的内存分析工具包，并介绍了多项重要改进，如文件系统支持、可自定义面板以及增强的表格功能。我们还涵盖了从分页机制、原型对象到UEFI固件分析等多个技术主题，并提供了一个实际的内存转储分析挑战供您动手实践。最后，还特别准备了一款夏日主题的填字游戏，为本期内容增添趣味。

发布日期：2025年8月5日
翻译与拓展：梦幻的彼岸
英文版地址：b78K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6r3!0J5k6g2)9J5k6h3y4W2M7X3u0W2M7X3!0Q4x3X3g2A6L8#2)9J5c8Y4y4@1j5i4c8A6j5#2)9J5c8X3A6G2N6i4u0F1j5h3I4Q4x3V1k6U0k6i4u0T1k6i4u0G2i4K6g2X3K9X3!0#2M7X3&6S2L8q4)9#2k6X3W2K6M7%4g2W2i4K6g2X3y4W2)9J5k6i4m8V1k6R3`.`.

一、CERBERO SUITE 8 更新内容

2024年9月，我们发布了 Cerbero Suite 8。在这次重大更新中，我们全面改进了起始页面，以提升对各种逻辑组件（logic providers）的访问便利性，并引入了可自定义面板功能。得益于这一改进，您可以选择自己喜欢的工具，并将其放置在显眼位置，从而在启动 Cerbero Suite 时能够快速访问常用功能。

添加面板非常简单：只需点击某个逻辑组件（logic provider）旁边的星形图标，该工具的面板就会立即显示。您可以随意重新排列这些面板的位置，并调整其大小，从而根据您的具体需求定制专属的工作布局。

这些面板不仅能够快速访问工具，而且在支持的情况下，还提供查看最近使用记录、拖放文件以及访问工具设置等功能。

随着 Cerbero Suite 不断添加新工具，更新后的起始页面已发展为一个高效且高度可定制的启动中心。

呼应个性化这一主题，您还可以设置常用操作为“收藏动作”，进一步提升操作效率和使用体验。

将某个操作设为收藏后，该操作会显示在操作菜单以及各个视图的上下文菜单的顶层位置，方便您快速访问和使用。

这一改进使得执行您最常用的操作更快捷、更直观。

Cerbero Suite 8 让您可以更轻松地按照自己的方式工作。通过起始页面，您可以按照个人喜好组织工具和收藏的操作，让完成任务变得更迅速、更自然。此版本及其后续的小版本更新，均致力于为您提供更加灵活高效的使用体验。

二、表格：排序与筛选

期待已久的功能终于到来：现在，Cerbero Suite 中的大多数表格都支持排序了。无论您是在浏览大量数据，还是在查找特定条目，对列进行排序都能帮助您快速找到所需内容。如果插件使用的是默认的表格控件，则排序功能会自动生效，无需额外操作。

筛选的工作方式与此类似。即使某个表格没有自带可见的筛选器，现在您也可以调出筛选器并立即应用。与排序一样，对于使用默认表格控件的所有内容，此功能开箱即用。

结合排序功能，筛选器让您能更轻松地专注于最重要的数据，尤其是在处理长列表或复杂结果时。

三、数据导出

无论您是在进行深入分析，还是仅仅需要提取特定信息，能够导出数据都是一项实用且必要的功能。表格和树形控件中常常包含有价值的信息（例如列表、搜索结果、解析后的结构），能够将这些信息以可用的格式导出，可以节省时间并简化您的工作流程。

这一功能在许多实际场景中都非常有用：也许您正在为同事准备一份报告，需要在其他工具中编写脚本进行进一步分析，或只是想保留一份发现结果的快照。现在，您无需再手动复制数据或编写自定义脚本，只需几次点击即可直接完成导出。

支持的导出格式包括纯文本、CSV（适用于表格）、JSON 和 XML，覆盖了从快速记录到结构化自动化等多种使用场景。这是一个看似微小却影响深远的功能。这也是 Cerbero Suite 久经用户请求后，终于实现的一项功能。

四、内存分析

是时候介绍我们过去几个月来一直在开发的最重要功能了。我们已弃用旧版的 Windows 内存分析包，并对其进行了完全重写，推出了全新的内存分析包，目前仍处于测试（beta）阶段。该软件包旨在突破内存转储分析的极限，并使分析过程更加便捷易用。它支持从 Windows XP 到 Windows 11 的所有版本，涵盖 x86 和 x64 两种架构。

默认情况下，该软件包支持解析原始内存转储，但通过安装 Windows 崩溃转储格式包，也可支持完整的内核崩溃转储。

打开内存转储文件时，会显示一个初始化对话框，允许您为该转储文件选择适当的配置文件，并配置分页支持和扫描选项。

该对话框提供预览功能，以帮助确认所选内存配置文件的正确性。

除了可以选择跳过扫描内存转储中的进程或扫描所有进程外，您还可以选择仅扫描特定的感兴趣进程，从而使您的分析更快速、更集中。

指定配置文件和选项后，即可在分析工作区中检查内存转储。每个列表视图都支持过滤，以便快速访问相关项目。

进程和模块均带有超链接，允许您从任何视图直接跳转到对应的进程或模块分析页面。在打开内存转储时，您可以选择跳过对进程和模块的扫描，以实现更快的初步检查，但仍可直接跳转至特定模块并进行查看。

已加载的内核模块可以进行检查。

已注册的服务被列出

所有进程的线程均可访问。

所有进程中引用的对象均可进行检查。

可查看活跃的网络连接。

系统用户和组及其属性可被检查。

内存中加载的注册表配置单元（Registry hives）会在熟悉的界面中显示。

也可以直接跳转到特定的注册表键。

支持特定架构的表格，例如中断描述符表（Interrupt Descriptor Table）。

还可检查 Windows 服务描述符表（Windows Service Descriptor Table）。

每个进程都可以作为子对象单独检查。

可以使用 Carbon 反汇编器分析进程的完整地址空间。

安装 YARA 规则包后，模块和文件将使用 YARA 进行扫描。此外，还可以使用 YARA 扫描进程的用户模式内存。同时，也可使用我们的高级文件挖掘包（File Miner package）从中提取文件。

新的内存分析包引入了一种现代化且集成的方式来调查内存转储。从完整的系统概览到对单个进程的详细检查，它提供了灵活性与精确性兼具的分析能力。无论您是在进行恶意软件初步分析、搜索取证痕迹，还是分析复杂行为，该软件包都能在 Cerbero Suite 熟悉的环境中，提供深入且可控的内存分析所需的功能。这仅仅是个开始，开发工作仍在持续进行，更多新功能已在规划之中。

五、分页、原型与压缩

要实现高质量的内存分析，必须能够解析超出标准页表所提供的内存页面。

其中一个典型情况涉及页面文件（pagefiles），可通过初始化对话框进行配置。Windows 理论上最多支持 16 个页面文件。添加页面文件时，您可以为其分配一个索引，其中 0 为默认值。

这使得解析已分页到磁盘的内存成为可能。

另一个与内存分页相关的 Windows 特有机制是原型 PTE（Prototype PTEs）的使用。这些条目是 Windows 内存管理的关键组成部分，代表共享的内存页，通常从映像文件或共享节映射而来。与常规页表项不同，原型 PTE 存在于独立的内存区域中，在分析过程中需要专门处理才能正确解析。

内存分析包对原型 PTE 的支持，提升了虚拟内存映射的解析能力，尤其是在涉及共享内存或基于映像的内存场景中。这显著增强了跨进程重建可执行文件、DLL 以及其他共享对象的能力。

或许最复杂的特性是内存解压缩的支持。内存压缩功能自 Windows 10 版本 1507 引入，允许将某些内存页进行压缩，并由名为“MemCompression”的系统进程进行管理。因此，内存快照中的某些页面可能看似不可用，因为它们实际位于压缩内存空间中。尽管可以根据需要禁用内存压缩，但默认情况下它是启用的。

在以下示例中，分析内存快照时某些注册表键看似缺失。这些键实际位于快照创建时已被压缩的内存页中。

启用内存解压缩后，缺失的注册表键成功被恢复。

关于 Windows 10 内存压缩机制这一未公开功能的原始研究，应归功于 FireEye 团队（现为 Mandiant）。

六、挑战：内存转储

此挑战简单明了，非常适合初学者。无需编写任何代码，仅使用 Cerbero Suite 的用户界面即可完成全部分析。

该内存转储文件是在网上发现的，可通过此链接下载。

目标是识别内存中存在的恶意软件二进制文件，以及任何其他相关取证痕迹。完成挑战后，您可将您的分析结果与这份详细的解析文档进行对比。

七、缺失的导入函数（OFTs）与 IAT 重定向

内存中映射的可移植可执行文件（Portable Executables）与其磁盘版本在多个重要方面存在差异。同时，在分析映射的可执行文件时，能够访问完整的进程地址空间将提供极具价值的洞察。

例如，查看导入表（Import Table）固然有帮助，但观察 IAT（导入地址表）条目实际指向的位置则更具信息量，尤其是在原始导入信息缺失的情况下（如上图所示）。

为便于识别，转发的条目已突出显示

被重定向的 IAT 条目更容易被识别。

当原始的引入函数地址表（Original First Thunk）和首个thunk数组（First Thunk）完全相同，且无法恢复导入函数名称时，生成的反汇编代码可能会难以解读。

通过动态解析 IAT 条目，反汇编器能够恢复导入的函数名称，从而使反汇编代码更易于阅读和理解。

八、文件系统大全

多年来，Cerbero Suite 对归档格式的支持稳步扩展。然而，除了最初的 ISO 格式包外，对实际文件系统的支持一直缺失。

这一情况在最近几个月得到改变，随着一系列新软件包的发布，全面的文件系统支持得以实现。

正确处理文件系统的第一步是推出了磁盘格式包（Disk Format package），该包增加了对磁盘布局的解析和分析能力，包括 MBR 和 GPT 分区表。

如果某个分区包含受支持的文件系统，它将自动作为子对象显示。该软件包还支持使用 Carbon 反汇编器对 MBR 启动代码进行深入分析。

在此之后，我们陆续发布了对多个主流文件系统的支持：

• FAT12/16/32 – 常见于磁盘镜像、固件和 USB 设备。
• exFAT – 常用于存储卡和现代存储介质。
• NTFS – 完整支持微软的日志型文件系统。
• EXT2/3/4 – 广泛应用于 Linux 系统和嵌入式环境。
• HFS+ – Apple 的传统文件系统，在处理较旧的 macOS 卷时非常有用。
• WIM – 用于 Windows 映像格式，常见于系统部署归档文件中。

所有受支持的文件系统在分析工作区中均被视为一级容器。您可以浏览目录、打开并分析文件，并查看文件和文件夹的元数据。所有操作都如同您预期的那样自然流畅。

九、UEFI 固件镜像

UEFI 固件镜像格式包支持多种 UEFI 固件镜像格式，除了允许您检查其结构外，还能自动提取嵌入的文件。

该软件包通常能自动识别 UEFI 固件镜像的格式。但如果格式未被自动识别，您在打开文件时需要手动指定相应的格式。

检查固件镜像是漏洞研究、逆向工程和数字取证等任务的关键环节。UEFI 固件通常包含驱动程序、可执行文件、配置数据以及其他关键组件，这些内容能够揭示有关系统行为、安全状况或制造商特定实现的宝贵信息。通过此软件包，Cerbero Suite 使复杂固件镜像的分析变得更加便捷高效。

十、在线情报

我们已更新了在线情报服务提供者，以适应各类服务近期的 API 变化。AbuseCH 情报、HybridAnalysis 情报以及样本下载器（SampleDownloader）等软件包均已升级，确保持续的兼容性与可靠性。

这些工具对于希望收集威胁情报、获取最新恶意软件样本及其相关取证痕迹的研究人员尤为有用。无论您是在追踪入侵指标（IoCs），还是在上下文中分析载荷，这些集成功能都有助于将外部情报直接引入您的工作流程。

十一、SDK 文档

我们已完成 SDK 的文档编写工作，涵盖内置文件格式、可安装软件包以及外部模块。

这意味着整个 SDK 现在都可在 Python 编辑器中支持代码自动补全。每次您安装一个暴露给 SDK 的软件包后，该软件包也会立即获得自动补全支持。

Cerbero Suite 与 Cerbero Engine 的 SDK 在广度和深度上均无与伦比，为开发者提供了丰富的功能。借助完整的文档，您可以轻松探索 SDK 提供的全部能力。无论您是编写插件以自动化任务、分析复杂的文件格式，还是开发新工具，SDK 都提供了所需的工具和资源。

Cerbero Suite 内置的 Python 编辑器进一步提升了您的开发体验，提供语法高亮、提示信息和代码补全等功能。要开始使用，请直接访问 SDK 文档网站，您将找到详尽的指南、API 参考和示例代码。文档结构清晰，旨在帮助初学者和高级用户都能快速找到所需信息。

十二、填字游戏

ACROSS (横向):

1.Power state where the PC looks ”asleep” but keeps services running (Windows) / 一种电源状态，电脑看似“休眠”但仍在运行服务（Windows）。
5.Box that forwards packets between networks (layer-3) / 在网络之间转发数据包的设备（第三层）。
10.Boolean operator that returns true if either operand is true / 布尔运算符，当任一操作数为真时返回真。
11.Oracle’s clustered file system (abbr.) / 甲骨文公司的集群文件系统（缩写）。
12.Switch–case branch that runs when no case matches / 当没有 case 匹配时执行的 switch-case 分支。
14.Entries in a list or menu / 列表或菜单中的条目。
16.Precedes a C++ destructor name / 出现在 C++ 析构函数名称前的符号。
17.Lightweight C compiler by Fabrice Bellard (abbr.) / Fabrice Bellard 开发的轻量级 C 编译器（缩写）。
19.Windows console command to clear the screen / Windows 控制台中用于清屏的命令。
20.Science of securing information against adversaries / 保护信息免受对手侵害的科学。
25.Firewall that inspects packet headers to decide pass or drop / 通过检查数据包头部来决定放行或丢弃的防火墙。
28.Automatic Image Annotation (computer algorithm) / 自动图像标注（计算机算法）。
31.Slang for fully compromise a target machine / 黑客术语，指完全攻陷目标机器。
32.Common string function that divides text by a delimiter / 常见的字符串函数，按分隔符分割文本。
33.Self-replicating malware / 能够自我复制的恶意软件。
34.CIDR block; contiguous set of addresses / CIDR 地址块；一组连续的 IP 地址。
36.Google smart-home brand often seen in IoT forensics / 谷歌智能家居品牌，在物联网取证中常见。
37.What users click and see (abbr.) / 用户点击和看到的内容（缩写）。
39.Variable scope visible across the whole module/namespace / 在整个模块/命名空间内可见的变量作用域。
40.Keeper of servers, services, and uptime / 负责管理服务器、服务和正常运行时间的人员。

DOWN (纵向):

1.Operation that completes entirely or not at all / 要么完全执行，要么完全不执行的操作。
2.Field of machine-driven pattern recognition and generation (abbr.) / 机器驱动的模式识别与生成领域（缩写）。
3.Apple’s desktop operating system / 苹果公司的桌面操作系统。
4.Primary workspace with icons, windows, and taskbar/dock / 包含图标、窗口和任务栏/程序坞的主要工作区。
6.Open document file standard (abbr.) / 开放文档文件标准（缩写）。
7.Common font format for .ttf files / .ttf 文件常用的字体格式。
8.Remote Desktop tool (abbr.) / 远程桌面工具（缩写）。
9.Asymmetric DSL over copper loops (abbr.) / 通过铜质电话线传输的非对称数字用户线路（缩写）。
13.Widely used block cipher standard (abbr.) / 广泛使用的分组密码标准（缩写）。
15.Country-code top-level domain for Timor-Leste (two letters) / 东帝汶的国家代码顶级域名（两个字母）。
18.Print-oriented color model with four inks / 用于印刷的四色模型。
21.Simple lossless compression: counts of repeated runs (abbr.) / 简单的无损压缩方法：记录重复字符的次数（缩写）。
22.Worst-case exploit: execute attacker’s code on a remote host (abbr.) / 最严重的漏洞利用：在远程主机上执行攻击者的代码（缩写）。
23.Impersonating identity or data to deceive systems or users / 伪造身份或数据以欺骗系统或用户。
24.Structured ”what-if” used for testing or threat modeling / 用于测试或威胁建模的结构化“假设”分析。
26.Directory in a filesystem / 文件系统中的目录。
27.Network delay measured in milliseconds / 网络延迟以毫秒为单位测量。
28.RISC CPU architecture behind most mobiles / 支撑大多数移动设备的 RISC CPU 架构。
29.Pair of regex flags: case-insensitive + Unicode mode (two letters) / 正则表达式中的两个标志组合：不区分大小写 + Unicode 模式（两个字母）。
30.Bind a value to a variable or a task to a user / 将值绑定到变量或将任务分配给用户。
33.Windows release between XP and 7 / 介于 Windows XP 和 Windows 7 之间发布的 Windows 版本。
35.Agreement to keep information confidential (abbr.) / 保密协议（缩写）。
38.Isolated compute environment emulating a machine (abbr.) / 模拟一台机器的隔离计算环境（缩写）。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！