Forensic 5 - Memory Forensics

anhphuong

W-------
10/08/2014
3
7 bài viết
Forensic 5 - Memory Forensics
I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”


- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:
+ Dữ liệu cần phân tích thường lớn hoặc rất lớn​
+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.​
+ Dữ liệu dễ dàng bị giả mạo​
II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:
Công cụ:
Volatility​
1. Lấy thông tin về HĐH:

Memory-forensic_1.png

Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

Memory-forensic_2.png

Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

Memory-forensic_3.png

Lại có:

Memory-forensic_4.png

- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:
Một process được kết nối với Malta hosting: svchost.exe (PID 880)​
Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Itto Nguyễn
Comment
Re: Forensic 5 - Memory Forensics

Hiện tại, mình bắt đầu tìm hiểu về digital forensic (hẹp hơn là về memory forensic). Mất 1 tuần tìm hiểu, mình nhận thấy đây la lĩnh vực mới và đòi hỏi kiến thức sâu về cấu trúc máy tinh. Hiện, minh đã tập hợp được một số tài liêu (tiếng anh) phục vụ việc tìm hiểu, nhưng thấy để có thể hiệu quả tốt hơn thì nhờ các bạn có kinh nghiệp có thể share cho mình một vài case để vừa thực hành luôn. Rất mong mọi người chỉ dẫn. Để tiện liên lạc, có thể inbox cho mình. Thanks all.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Phạm Phú Sơn
Comment
Re: Forensic 5 - Memory Forensics

Bác chủ có bài hướng dẫn cài volatility cho windows hoặc linux không ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
link die rồi bác ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:
+ Dữ liệu cần phân tích thường lớn hoặc rất lớn
+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.
+ Dữ liệu dễ dàng bị giả mạo

II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:
Công cụ:
Volatility

1. Lấy thông tin về HĐH:

gmdqGIX.png


Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

HHC2k1k.png



Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

hEqC8l4.png


Lại có:

P08uPGG.png


- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:
Một process được kết nối với Malta hosting: svchost.exe (PID 880)
Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​
Bác có thể giới thiệu thêm về lấy thông tin SAM + Decode trong SAM thì tốt
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
ai có file dump bị tấn công rồi ko cho mình xin với
Please !!!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Forensic 5 - Memory Forensics

Hiện tại, mình bắt đầu tìm hiểu về digital forensic (hẹp hơn là về memory forensic). Mất 1 tuần tìm hiểu, mình nhận thấy đây la lĩnh vực mới và đòi hỏi kiến thức sâu về cấu trúc máy tinh. Hiện, minh đã tập hợp được một số tài liêu (tiếng anh) phục vụ việc tìm hiểu, nhưng thấy để có thể hiệu quả tốt hơn thì nhờ các bạn có kinh nghiệp có thể share cho mình một vài case để vừa thực hành luôn. Rất mong mọi người chỉ dẫn. Để tiện liên lạc, có thể inbox cho mình. Thanks all.

Chào bác, em cũng muốn tìm hiểu về digital forensis, bác có thể share tài liệu cho em về chủ đề này?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:
+ Dữ liệu cần phân tích thường lớn hoặc rất lớn
+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.
+ Dữ liệu dễ dàng bị giả mạo

II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:
Công cụ:
Volatility

1. Lấy thông tin về HĐH:

gmdqGIX.png


Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

HHC2k1k.png



Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

hEqC8l4.png


Lại có:

P08uPGG.png


- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:
Một process được kết nối với Malta hosting: svchost.exe (PID 880)
Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​
Bác cho em hỏi chỗ IP làm sao mà tìm được IP 192.104.22.71 và 212.150.164.203 với ạ. Em không thấy trên hình ạ.?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bác cho em hỏi chỗ IP làm sao mà tìm được IP 192.104.22.71 và 212.150.164.203 với ạ. Em không thấy trên hình ạ.?
cái này bn tải link trên kia về, trong link có hình ảnh nhé nhưng tiếc là link bị died rồi :)))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Có ai có file xcom.vmem không cho em xin với ạ :D:D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên