Paměťová forenzní - Memory forensics

Paměťová forenzní je forenzní analýza a počítač je výpis paměti. Jeho primární aplikací je vyšetřování pokročilých počítačové útoky které jsou natolik nenápadné, že nevynechávají data v počítači pevný disk. V důsledku toho je paměť (RAM ) musí být analyzovány na forenzní informace.

Dějiny

Nástroje pro generování nuly

Před rokem 2004 byla paměťová forenzní práce prováděna na ad hoc pomocí obecných nástrojů pro analýzu dat, jako je struny a grep. Tyto nástroje nejsou speciálně vytvořeny pro forenzní paměť, a proto se obtížně používají. Poskytují také omezené informace. Obecně platí, že jejich primárním využitím je extrakce textu z výpisu paměti.^[1]

Mnoho operační systémy poskytují funkce vývojářům jádra a koncovým uživatelům, aby skutečně vytvořili snímek fyzické paměti buď ladění (skládka jádra nebo Modrá obrazovka smrti ) účely nebo vylepšení zkušeností (Hibernace (výpočetní) ). V případě Microsoft Windows, skládky a hibernace byly přítomny od Microsoftu Windows NT. Microsoft crash skládky byly vždy analyzovatelné společností Microsoft WinDbg a soubory hibernace systému Windows (hiberfil.sys) jsou v dnešní době převáděné na skládkách havárií společnosti Microsoft pomocí nástrojů, jako jsou MoonSols Windows Memory Toolkit navržený uživatelem Matthieu Suiche.

Nástroje první generace

V únoru 2004 představil Michael Ford článek o paměťové forenzní analýze v článku v časopise SysAdmin.^[2] V tomto článku demonstroval analýzu rootkitu založeného na paměti. Tento proces využíval stávající Linux pád nástroj a dva nástroje vyvinuté speciálně pro forenzní obnovu a analýzu paměti, memget a mempeek.

V roce 2005 DFRWS vydal výzvu k forenzní analýze paměti.^[3] V reakci na tuto výzvu bylo v této generaci vytvořeno více nástrojů, speciálně určených k analýze výpisů paměti. Tyto nástroje měly znalosti o operační systém je interní datové struktury, a byli tak schopni rekonstruovat operační systém je proces seznam a informace o procesu.^[3]

Ačkoli byly zamýšleny jako výzkumné nástroje, dokázaly to operační systém forenzní paměť je možná a praktická.

Nástroje druhé generace

Následně bylo vyvinuto několik nástrojů pro forenzní paměť určené pro praktické použití. Patří sem oba komerční nástroje jako Responder PRO, Memoryze, MoonSols Windows Memory Toolkit, winen, Belkasoft Live RAM Capturer atd .; otevřený zdroj nástroje jako Volatilita. Byly přidány nové funkce, jako je analýza výpisů paměti systému Linux a Mac OS X, a podstatné akademický výzkum byl vynesen ven.^[4]^[5]

Na rozdíl od Microsoft Windows Mac OS X zájem je relativně nový a byl zahájen pouze Matthieu Suiche^[6] v roce 2010 během Black Hat Briefings bezpečnostní konference.

V současné době je paměťová forenzní diagnostika standardní součástí reakce na incidenty.^[7]

Nástroje třetí generace

Od roku 2010 jsme začali vidět více utilit zaměřených na vizualizační aspekt paměťová analýza jako MoonSols LiveCloudKd představen^[8] podle Matthieu Suiche na Informační brífinky Microsoft BlueHat to inspirovalo^[9] nová funkce v Microsoft LiveKd napsaná uživatelem Mark Russinovich^[10] umožnit introspekci virtuálních strojů přístupem do paměti hostujícího virtuálního stroje z hostitelského virtuálního stroje a buď je přímo analyzovat pomocí Microsoftu WinDbg nebo získat výpis paměti ve formátu souboru s výpisem stavu paměti Microsoft.

Reference

^ Dan Farmer a Wietse Venema.Forenzní objev.Kapitola 8.
^ Ford, Michael. (2004) Linuxová paměťová forenzní Časopis SysAdmin.
^ ^A ^b Forenzní výzva DFRWS 2005 Archivováno 2013-04-26 na Wayback Machine
^ Petroni, N.L., Walters, A., Fraser, T., & Arbaugh, W.A. (2006). FATKit: Rámec pro extrakci a analýzu digitálních forenzních dat z volatilní systémové paměti. Digital Investigation, 3 (4), 197-210.
^ Inoue, H., Adelstein, F. a Joyce, R. A. (2011). Vizualizace při testování forenzního nástroje s volatilní pamětí. Digital Investigation, 8, S42-S51.
^ Matthieu Suiche. Black Hat Briefings DC 2010.Pokročilá analýza fyzické paměti Mac OS X.
^ Institut SANS. Paměťová forensika pro reakci na incidenty.
^ Matthieu Suiche. Microsoft Blue Hat Hacker Conference Podzim 2010.Modrá obrazovka smrti je mrtvá.
^ LiveKd pro ladění virtuálních strojů
^ https://technet.microsoft.com/en-us/sysinternals/livekd.aspx

[1] Dan Farmer a Wietse Venema.Forenzní objev.Kapitola 8.

[LinuxMemoryForensics_2004-2] Ford, Michael. (2004) Linuxová paměťová forenzní Časopis SysAdmin.

[DFRWS_2005-3] A ^b Forenzní výzva DFRWS 2005 Archivováno 2013-04-26 na Wayback Machine

[4] Petroni, N.L., Walters, A., Fraser, T., & Arbaugh, W.A. (2006). FATKit: Rámec pro extrakci a analýzu digitálních forenzních dat z volatilní systémové paměti. Digital Investigation, 3 (4), 197-210.

[5] Inoue, H., Adelstein, F. a Joyce, R. A. (2011). Vizualizace při testování forenzního nástroje s volatilní pamětí. Digital Investigation, 8, S42-S51.

[6] Matthieu Suiche. Black Hat Briefings DC 2010.Pokročilá analýza fyzické paměti Mac OS X.

[7] Institut SANS. Paměťová forensika pro reakci na incidenty.

[8] Matthieu Suiche. Microsoft Blue Hat Hacker Conference Podzim 2010.Modrá obrazovka smrti je mrtvá.

[9] LiveKd pro ladění virtuálních strojů

[LiveKd-10] ttps://technet.microsoft.com/en-us/sysinternals/livekd.aspx

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]