Tải bản đầy đủ (.pptx) (24 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Kỹ thuật - Công nghệ

Đề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.76 MB, 24 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN

Đề tài:Tìm hiểu một số kỹ thuật thu thập
và phân tích thơng tin an ninh mạng từ bộ
nhớ máy tính

Lớp: L01
Giảng viên: Nguyễn Thị Hồng Hà


Sinh viên thực hiện:
 Nguyễn Thị Ninh - AT140229
 Phạm Thị Lưu Ly - AT140222
 Hoàng Thị Lan - AT140220
 Nguyễn Văn Tuấn - AT140450


Nội dung:

 1. Tổng quan về thu thập và phân tích thơng tin an ninh
mạng từ bộ nhớ máy tính
 2. Một số kỹ thuật và công cụ thu thập và phân tích thơng tin
an ninh mạng từ bộ nhớ máy tính
 3. Triển khai mơ hình thu thập và phân tích thơng tin an ninh
từ bộ nhớ máy tính


Tổng quan về thu thập và phân tích thơ
ng tin an ninh mạng từ bộ nhớ máy tính
 1. Giới thiệu phân tích điều tra và thu thập thơng tin bộ nhớ máy tính


 2. Quy trình thu thập và phân tích thơng tin từ bộ nhớ máy tính


1. Giới thiệu phân tích điều tra và thu thập thơng
tin bộ nhớ máy tính
 Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại
bộ nhớ RAM của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc
đang bị tấn cơng để tiến hành điều tra.
 Thu thập thông tin bộ nhớ máy tính: Về cơ bản, thu thập bộ nhớ là
sao chép nội dung của bộ nhớ vật lý sang thiết bị lưu trữ khác để
bảo quản.


2. Quy
trình thu
thập và
phân tích
thơng tin từ
bộ nhớ
máy tính


MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU
THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH
MẠNG TỪ BỘ NHỚ MÁY TÍNH


 Thu lại bộ nhớ khả biến
 Xác định nơi tìm bộ nhớ khả biến


Kỹ
thuật

 Liệt kê các tiến trình đang được thực thi
 Liệt kê các kết nối mạng có trong hệ thống
 Phục hồi các tập tin ánh xạ trong bộ nhớ
 Phân tích ngược tập tin chứa mã độc
 Phân tích registry


1. Thu lại bộ nhớ khả biến
Có 2 phương pháp để thu lại bộ nhớ khả biến:
 Thu dựa trên phần cứng: liên quan đến việc tạm ngưng quá trình
xử lý của máy tính

thựcpháp
hiệnđểtruy
cập
bộ khả
nhớbiến
trực tiếp (DMA) để có
Có 2
phương
thu lại
bộ nhớ
được một bản sao của bộ nhớ.
 Thu dựa trên phần mềm: là một kỹ thuật được sử dụng phổ biến
bằng việc sử dụng bộ công cụ đánh giá tin cậy được phát triển và
cung cấp bởi các chuyên gia điều tra số.



2. Xác định nơi tìm bộ nhớ khả biến
 Trong Windows, có 2 đối tượng thiết bị phổ biến có thể được
truy cập để lấy bộ nhớ khả biến là: \\.\PhysicalMemory và \\.\
DebugMemory.
Có 2 phương pháp để thu lại bộ nhớ khả biến
 - Trong Unix, các thiết bị bộ nhớ vật lý thường là /dev/mem/
và /proc/kcore.


3. Liệt kê các tiến trình đang được thực thi

Kỹ thuật này được sử dụng nhằm:
 Xác định mối liên hệ giữa các tiến trình với nhau
Có 2 phương pháp để thu lại bộ nhớ khả biến

 xem có tiến trình nào lạ đang tồn tại trên hệ thống hay
khơng


4. Liệt kê các kết nối mạng có trong hệ thống

 Việc liệt kê các kết nối
mục đích là để xem nếu
Có 2 phương pháp để thu lại bộ nhớ khả biến

có kết nối ra ngồi hệ
thống thì những kết nối
đó thuộc về tiến trình


Kiểm tra các kết nối mạng

nào.


5. Phục hồi các tập tin ánh xạ trong bộ nhớ

Các tệp đã bị đóng thường vẫn cịn trong bộ nhớ, q trình khơi phục
các tệp như vậy tương
tự nhưpháp
việc
dựng
lạikhả
các
tệp trên một đĩa
Có 2 phương
đểxây
thu lại
bộ nhớ
biến
cứng đã bị xóa.
Thơng thường, nhìn vào bảng phân trang sẽ cho phép các tệp được tạo
lại ngay cả khi chúng khơng cịn hoạt động trong bộ nhớ.


6. Phân tích ngược tập tin chứa mã độc
 Kĩ thuật này thường áp dụng khi chúng ta trích xuất tập tin nghi ngờ
chứa mã độc để phân tích => mã nguồn của mã độc.
 Để phân tích mãCó
độc

ngườipháp
phân
tíchlạicần
tạo
rabiến
những mơi trường ảo
2 phương
để thu
bộ nhớ
khả
để phân tích, đảm bảo mã độc khơng thể lây nhiễm ra ngồi.


7. Phân tích registry
 Hầu hết khi kiểm tra các phần mềm độc hại tồn tại trên một hệ thống,
thì chúng ta thường kiểm tra registry.
 Trong trường hợp phân tích điều tra bộ nhớ khả biến thì với việc phân
Có 2 phương pháp để thu lại bộ nhớ khả biến
tích registry chúng ta sẽ thực hiện việc tạo dựng lại dữ liệu registry.


 Volatility

Công
cụ

 DFF - Digital Forensic Framework
 The Sleuth Kit và Autospy
 SANS Investigate Forensic Toolkit (SIFT)



1. Volatility
Volatility là một framework
với rất nhiều plugins được
dùng để phân tích và tìm
kiếm thơng tin từ chứng
cứ thu được.

Các plugins mà volatility hỗ trợ


1. Volatility
Ngồi giao diện sử dụng dịng
lệnh thì volatility cịn được
cộng đồng mã nguồn mở phát
triển thêm giao diện web để
giúp cho người phân tích có
cái nhìn trực quan hơn.

Giao diện VolUtility


2. DFF - Digital Forensic Framework
DFF là phần mềm mã nguồn mở phục vụ cho việc điều
chứng cứ tội phạm cơng nghệ cao.
Một số tính năng mà DFF hỗ trợ:
Phân tích và xây dựng lại Windows registry
Trích xuất ra nhiều dữ liệu và siêu dữ liệu
Phục hồi dữ liệu ẩn và dữ liệu bị xóa
Liệt kê các tiến trình đang chạy

Liệt kê các kết nối mạng đang tồn tại trên hệ thống
Sử dụng tính năng tìm kiếm dựa vào thời gian, nội
dung


2. DFF - Digital Forensic Framework

Giao diện của DFF



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×