Forensic 5 - Memory Forensics

Thảo luận trong 'Infrastructure security' bắt đầu bởi anhphuong, 12/08/14, 01:08 PM.

  1. anhphuong

    anhphuong W-------

    Tham gia: 10/08/14, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    6
    I. Giới thiệu:

    - Trước hết, xin được phép nhắc lại kiến thức về Computer Foresic đã được đề cập trong các bài viết trước trên whitehat forum:

    Computer Forensics Là gì ?
    Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.”

    - Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của forensics với đối tượng là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

    - Memory Forensics mang những đặc điểm chung của Computer Forensics là:
    + Dữ liệu cần phân tích thường lớn hoặc rất lớn​
    + Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.​
    + Dữ liệu dễ dàng bị giả mạo

    II. Công cụ:

    - Hiện tại để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
    - Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
    - Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

    III. Case study:

    Bạn nhận được một file dmp từ một máy tính bị tấn công. Hãy tìm cách lấy ra được nhiều thông tin nhất có thể về sự cố.

    File:Công cụ:
    Volatility

    1. Lấy thông tin về HĐH:

    [​IMG]

    Kết quả nhận được từ Volatility cho thấy HĐH được cài trên máy là Windows XP, phiên bản SP2 hoặc SP3 32bit.

    2. Hiển thị tiến trình:

    [​IMG]


    Từ đây có thể thấy những process (cùng thông tin PID, PPID, số Threads…) đang chạy trong máy nạn nhân lúc dump ra file ảnh.
    Dành sự một chút sự chú ý đến process AcroRd32.exe. Đây là Acrobat Reader, được mở từ PID 888 - trình duyệt Firefox.

    3. Lấy ra danh sách sockets:

    [​IMG]

    Lại có:

    [​IMG]

    - Qua những thông tin trên, ta có được 2 IP đáng ngờ được mở: 192.104.22.71 (Malta hosting) và 212.150.164.203 (Israeli). Có thể truy vấn thêm thông tin từ IP này thông qua dịch vụ Whois.

    - Chi tiết:
    Một process được kết nối với Malta hosting: svchost.exe (PID 880)​
    Hai process được kết nối với Israeli hosting: firefox.exe (PID 888) và AcroRd32.exe (PID 1752)​
     
    Last edited by a moderator: 12/08/14, 01:08 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. kdcn

    kdcn Banned

    Tham gia: 13/08/14, 03:08 PM
    Bài viết: 8
    Đã được thích: 0
    Điểm thành tích:
    6
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Takaki

    Takaki W-------

    Tham gia: 17/02/14, 03:02 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Forensic 5 - Memory Forensics

    Hiện tại, mình bắt đầu tìm hiểu về digital forensic (hẹp hơn là về memory forensic). Mất 1 tuần tìm hiểu, mình nhận thấy đây la lĩnh vực mới và đòi hỏi kiến thức sâu về cấu trúc máy tinh. Hiện, minh đã tập hợp được một số tài liêu (tiếng anh) phục vụ việc tìm hiểu, nhưng thấy để có thể hiệu quả tốt hơn thì nhờ các bạn có kinh nghiệp có thể share cho mình một vài case để vừa thực hành luôn. Rất mong mọi người chỉ dẫn. Để tiện liên lạc, có thể inbox cho mình. Thanks all.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. great_bn

    great_bn W-------

    Tham gia: 04/11/13, 11:11 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Forensic 5 - Memory Forensics

    Bác chủ có bài hướng dẫn cài volatility cho windows hoặc linux không ạ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. anhphuong

    anhphuong W-------

    Tham gia: 10/08/14, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    6
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. n90c50n

    n90c50n New Member

    Tham gia: 20/09/17, 09:09 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    link die rồi bác ạ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. vipbn90a3

    vipbn90a3 W-------

    Tham gia: 25/05/15, 02:05 PM
    Bài viết: 10
    Đã được thích: 7
    Điểm thành tích:
    3
    Bác có thể giới thiệu thêm về lấy thông tin SAM + Decode trong SAM thì tốt
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 120
    Đã được thích: 29
    Điểm thành tích:
    28
    Bạn inbox chủ topic để hỏi thông tin nhé :)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. thanhdanh

    thanhdanh New Member

    Tham gia: 31/01/18, 09:01 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. thanhdanh

    thanhdanh New Member

    Tham gia: 31/01/18, 09:01 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    ai có file dump bị tấn công rồi ko cho mình xin với
    Please !!!
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 258
    Đã được thích: 196
    Điểm thành tích:
    43
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan