Forensic 5 - Memory Forensics

[anhphuong]

I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

“Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:

+ Dữ liệu cần phân tích thường lớn hoặc rất lớn​

+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.​

+ Dữ liệu dễ dàng bị giả mạo​

​

II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:

xcom.vmem​

Công cụ:

Volatility​

​

1. Lấy thông tin về HĐH:

Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

Lại có:

- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:

Một process được kết nối với Malta hosting: svchost.exe (PID 880)​

Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​

 

Re: Forensic 5 - Memory Forensics

Giới thiệu cho mọi người danh sách các tài liệu hay nhất về công nghệ thông tin mình sưu tầm được:
http://www.mediafire.com/view/j8ni1m18c37y085/Tổng_hợp_các_tài_liệu_hay_nhất_về_CNTT.docx

 

Re: Forensic 5 - Memory Forensics

Hiện tại, mình bắt đầu tìm hiểu về digital forensic (hẹp hơn là về memory forensic). Mất 1 tuần tìm hiểu, mình nhận thấy đây la lĩnh vực mới và đòi hỏi kiến thức sâu về cấu trúc máy tinh. Hiện, minh đã tập hợp được một số tài liêu (tiếng anh) phục vụ việc tìm hiểu, nhưng thấy để có thể hiệu quả tốt hơn thì nhờ các bạn có kinh nghiệp có thể share cho mình một vài case để vừa thực hành luôn. Rất mong mọi người chỉ dẫn. Để tiện liên lạc, có thể inbox cho mình. Thanks all.

 

Re: Forensic 5 - Memory Forensics

Bác chủ có bài hướng dẫn cài volatility cho windows hoặc linux không ạ

 

Re: Forensic 5 - Memory Forensics

Bác chủ có bài hướng dẫn cài volatility cho windows hoặc linux không ạ

Linux: https://github.com/volatilityfoundation/volatility/wiki/Installation
Cứ theo hướng dẫn mà cài thôi bạn
Trên Windows nếu muốn nhanh gọn có thể dùng giải pháp Volatility Standalone

 

link die rồi bác ạ

 

I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

“Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:

+ Dữ liệu cần phân tích thường lớn hoặc rất lớn
+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.
+ Dữ liệu dễ dàng bị giả mạo
​

II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:

xcom.vmem​

Công cụ:

Volatility
​

1. Lấy thông tin về HĐH:

Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

Lại có:

- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:

Một process được kết nối với Malta hosting: svchost.exe (PID 880)
Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​

Bác có thể giới thiệu thêm về lấy thông tin SAM + Decode trong SAM thì tốt

 

link die rồi bác ạ

Bạn inbox chủ topic để hỏi thông tin nhé

 

Re: Forensic 5 - Memory Forensics

Giới thiệu cho mọi người danh sách các tài liệu hay nhất về công nghệ thông tin mình sưu tầm được:
http://www.mediafire.com/view/j8ni1m18c37y085/Tổng_hợp_các_tài_liệu_hay_nhất_về_CNTT.docx

link die hết rồi à

 

ai có file dump bị tấn công rồi ko cho mình xin với
Please !!!

 

ai có file dump bị tấn công rồi ko cho mình xin với
Please !!!

Bạn có thể tải bài này trong giải WhiteHat GrandPrix Dumpm3 để phân tích
https://drive.google.com/file/d/1UG5gDCWKFpFMdpAfAFgcGri_ggwI8S2w/view?usp=sharing

 

Re: Forensic 5 - Memory Forensics

Hiện tại, mình bắt đầu tìm hiểu về digital forensic (hẹp hơn là về memory forensic). Mất 1 tuần tìm hiểu, mình nhận thấy đây la lĩnh vực mới và đòi hỏi kiến thức sâu về cấu trúc máy tinh. Hiện, minh đã tập hợp được một số tài liêu (tiếng anh) phục vụ việc tìm hiểu, nhưng thấy để có thể hiệu quả tốt hơn thì nhờ các bạn có kinh nghiệp có thể share cho mình một vài case để vừa thực hành luôn. Rất mong mọi người chỉ dẫn. Để tiện liên lạc, có thể inbox cho mình. Thanks all.

Chào bác, em cũng muốn tìm hiểu về digital forensis, bác có thể share tài liệu cho em về chủ đề này?

 

I. Giới thiệu:

- Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

“Computer Forensics Là gì ?
Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

- Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

- Memory Forensics mang những đặc điểm chung của Computer Forensics là:

+ Dữ liệu cần phân tích thường lớn hoặc rất lớn
+ Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.
+ Dữ liệu dễ dàng bị giả mạo
​

II. Công cụ:

- Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
- Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
- Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

III. Case study:

Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

File:

xcom.vmem​

Công cụ:

Volatility
​

1. Lấy thông tin về HĐH:

Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

2. Hiển thị tiến trình:

Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

3. Lấy ra danh sách sockets:

Lại có:

- Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

- Chi tiết:

Một process được kết nối với Malta hosting: svchost.exe (PID 880)
Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​

Bác cho em hỏi chỗ IP làm sao mà tìm được IP 192.104.22.71 và 212.150.164.203 với ạ. Em không thấy trên hình ạ.?

 

Bác cho em hỏi chỗ IP làm sao mà tìm được IP 192.104.22.71 và 212.150.164.203 với ạ. Em không thấy trên hình ạ.?

cái này bn tải link trên kia về, trong link có hình ảnh nhé nhưng tiếc là link bị died rồi ))

 

Có ai có file xcom.vmem không cho em xin với ạ