• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
[Đồ Án] Memory Forensics
 

[Đồ Án] Memory Forensics

on

  • 47 views

 

Statistics

Views

Total Views
47
Views on SlideShare
47
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    [Đồ Án] Memory Forensics [Đồ Án] Memory Forensics Presentation Transcript

    • BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ****** ĐỒ ÁN TỐT NGHIỆP Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp Chuyên ngành: An toàn thông tin Gv hướng dẫn: Th.s Vũ Đình Thu Sv thực hiện: Lê Công Phú Hà Nội, 06/2013 1
    • NỘI DUNG  ĐẶT VẤN ĐỀ  MỤC TIÊU CỦA ĐỒ ÁN  CÁC NỘI DUNG THỰC HIỆN  KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN 2
    • MỤC TIÊU CỦA ĐỒ ÁN 3
    • Mục tiêu  Hiểu được tầm quan trọng của chứng cứ số.  Nắm bắt được kiến thức nền tảng cần có khi điều tra phân tích bộ nhớ.  Nắm bắt được quy trình phân tích chứng cứ số  Kỹ thuật hiện đang được các chuyên gia phân tích chứng cứ số sử dụng.  Ứng dụng kỹ thuật điều tra và phân tích bộ nhớ vào thực tế để giải quyết sự cố an toàn thông tin khi một hệ thống bị thỏa hiệp. 4
    • CÁC NỘI DUNG THỰC HIỆN 5
    • Các nội dung thực hiện  Tổng quan về phân tích điều tra số  Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ  Quy trình và cách thức thực hiện phân tích điều tra bộ nhớ  Ứng dụng phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp  DEMO 6
    • Tổng quan về phân tích điều tra số 7
    • Tổng quan về phân tích điều tra số  Khái niệm Điều tra số là ngành khoa học máy tính bao gồm việc điều tra và phục hồi các dữ liệu tìm thấy trong các thiết bị kỹ thuật số để tìm kiếm các chứng cứ số liên quan đến tội phạm công nghệ cao.  Ứng dụng của điều tra số o Về mặt kỹ thuật: Điều tra số giúp cho tổ chức xác định các vấn đề liên quan đến an toàn thông tin xảy ra đối với hệ thống của họ, qua đó xác định được các điểm yếu để khắc phục, kiện toàn. o Về mặt pháp lý: Điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm pháp. 8
    • Tổng quan về phân tích điều tra số (cont…)  Quy trình thực hiện điều tra số o Tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật o Tiến hành phân tích o Báo cáo kết quả điều tra được.  Các loại hình điều tra số phổ biến o Điều tra máy tính Điều tra bộ nhớ Điều tra tập tin hệ thống Phân tích điều tra Registry o Điều tra mạng o Điều tra thiết bị di động 9
    • Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ 10
    • Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ  Khái niệm o Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc đang bị tấn công để tiến hành điều tra, giúp cho việc xác định nguyên nhân cũng như các hành vi đã xảy ra trên hệ thống.  Vai trò o Giúp xác định nhanh nguyên nhân hệ thống bị tấn công, cũng như các kỹ thuật mà kẻ tấn công đã sử dụng từ đó có thể khắc phục và giảm thiểu thiệt hại gây ra đối với các tổ chức khi mà hệ thống của họ đã bị thỏa hiệp o Cung cấp cho cơ quan pháp lý các chứng cứ thuyết phục về mặt công nghệ cao để xử lý tội phạm theo quy định của pháp luật. 11
    • Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ (cont…) Tại sao lại phải phân tích điều tra bộ nhớ o Tất cả mọi thứ trong hệ điều hành đều đi qua RAM o Những dữ liệu tìm thấy trong bộ nhớ khả biến. Các tiến trình và các tập tin đang mở Mã độc Các kết nối mạng, các sockets, URLs, địa chỉ IP Nội dung người dùng tạo ra Mật khẩu và các khóa mật mã Cấu hình phần cứng và phần mềm Các khóa Registry trong windows và các nhật ký sự kiện. …
    • Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ (cont…)  Nền tảng kỹ thuật cho phân tích điều tra bộ nhớ oNhân hệ điều hành và tập tin hệ thống oCơ chế quản lý bộ nhớ của hệ điều hành Quản lý bộ nhớ ảo theo cấu trúc phân trang Quản lý bộ nhớ vật lý oKỹ thuật phân tích mã độc Phân tích động Phân tích tĩnh oCác kỹ thuật tấn công hệ thống máy tính Khai thác lỗ hổng phần mềm Tấn công sử dụng mã độc Một số kỹ thuật khác 13
    • Quy trình và cách thức thực hiện điều tra bộ nhớ 14
    • Quy trình và cách thức thực hiện điều tra bộ nhớ Môi trường phân tích điều tra bộ nhớ o Phân tích điều tra bộ nhớ trên hệ điều hành windows o Phân tích điều tra bộ nhớ trên hệ điều hành linux o Phân tích điều tra bộ nhớ trên OSx 15
    • Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…) Quy trình thực hiện phân tích điều tra bộ nhớ 1. Kiểm tra xác minh 2. Mô tả hệ thống 3. Thu thập chứng cứ 4. Thiết lập mốc thời gian và phân tích 5. Lập báo cáo 16
    • Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…) Công cụ sử dụng trong phân tích dữ liệu từ bộ nhớ khả biến oNhững công cụ cơ bản oVolatility oDFF – Digital Forensics Framework oTheSleuth kit và Autopsy oMandiant Realine oSANS Investigate Forensics Toolkit (SIFT) Workstation 17
    • Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp 18
    • Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp Trong phân tích điều tra hệ thống bị thỏa hiệp thì Memory Forensics có thể xác định. o Những tiến trình đang chạy trên hệ thống bị thỏa hiệp tại thời điểm hình ảnh bộ nhớ được “chụp lại”, bao gồm các tiến trình ẩn. o Các kết nối ra vào hệ thống. o Xác định các Modules dll, các tập tin khả nghi o Các địa chỉ URLs đáng ngờ hoặc các địa chỉ ip liên quan đến tiến trình. o Các khóa mật mã 19
    • Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp (cont…) o Xác định được các tập tin đang mở có liên quan tới một tiến trình nào đó. o Xác định được bất kỳ chuỗi nghi ngờ liên quan đến một tiến trình cụ thể. o Có thể trích xuất các tập tin độc hại từ bộ nhớ và phân tích nó. o Có thể khôi phục lại các tập tin đã bị xóa. 20
    • Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp (cont…) o Có thể xác định được địa chỉ ip của kẻ tấn công và vị trí của nó. o Có thể xác định được các tài khoản đã được kẻ tấn công tạo ra trên hệ thống. o Xác định được các thay đổi trong Registry bởi mã độc. o Mối quan hệ giữa các tiến trình với nhau. o Ý định của mã độc khi lây nhiễm vào hệ thống. 21
    • DEMO 22
    • Q&A 23