HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
Đề tài:Tìm hiểu một số kỹ thuật thu thập
và phân tích thơng tin an ninh mạng từ bộ
nhớ máy tính
Lớp: L01
Giảng viên: Nguyễn Thị Hồng Hà
Sinh viên thực hiện:
Nguyễn Thị Ninh - AT140229
Phạm Thị Lưu Ly - AT140222
Hoàng Thị Lan - AT140220
Nguyễn Văn Tuấn - AT140450
Nội dung:
1. Tổng quan về thu thập và phân tích thơng tin an ninh
mạng từ bộ nhớ máy tính
2. Một số kỹ thuật và công cụ thu thập và phân tích thơng tin
an ninh mạng từ bộ nhớ máy tính
3. Triển khai mơ hình thu thập và phân tích thơng tin an ninh
từ bộ nhớ máy tính
Tổng quan về thu thập và phân tích thơ
ng tin an ninh mạng từ bộ nhớ máy tính
1. Giới thiệu phân tích điều tra và thu thập thơng tin bộ nhớ máy tính
2. Quy trình thu thập và phân tích thơng tin từ bộ nhớ máy tính
1. Giới thiệu phân tích điều tra và thu thập thơng
tin bộ nhớ máy tính
Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại
bộ nhớ RAM của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc
đang bị tấn cơng để tiến hành điều tra.
Thu thập thông tin bộ nhớ máy tính: Về cơ bản, thu thập bộ nhớ là
sao chép nội dung của bộ nhớ vật lý sang thiết bị lưu trữ khác để
bảo quản.
2. Quy
trình thu
thập và
phân tích
thơng tin từ
bộ nhớ
máy tính
MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU
THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH
MẠNG TỪ BỘ NHỚ MÁY TÍNH
Thu lại bộ nhớ khả biến
Xác định nơi tìm bộ nhớ khả biến
Kỹ
thuật
Liệt kê các tiến trình đang được thực thi
Liệt kê các kết nối mạng có trong hệ thống
Phục hồi các tập tin ánh xạ trong bộ nhớ
Phân tích ngược tập tin chứa mã độc
Phân tích registry
1. Thu lại bộ nhớ khả biến
Có 2 phương pháp để thu lại bộ nhớ khả biến:
Thu dựa trên phần cứng: liên quan đến việc tạm ngưng quá trình
xử lý của máy tính
và
thựcpháp
hiệnđểtruy
cập
bộ khả
nhớbiến
trực tiếp (DMA) để có
Có 2
phương
thu lại
bộ nhớ
được một bản sao của bộ nhớ.
Thu dựa trên phần mềm: là một kỹ thuật được sử dụng phổ biến
bằng việc sử dụng bộ công cụ đánh giá tin cậy được phát triển và
cung cấp bởi các chuyên gia điều tra số.
2. Xác định nơi tìm bộ nhớ khả biến
Trong Windows, có 2 đối tượng thiết bị phổ biến có thể được
truy cập để lấy bộ nhớ khả biến là: \\.\PhysicalMemory và \\.\
DebugMemory.
Có 2 phương pháp để thu lại bộ nhớ khả biến
- Trong Unix, các thiết bị bộ nhớ vật lý thường là /dev/mem/
và /proc/kcore.
3. Liệt kê các tiến trình đang được thực thi
Kỹ thuật này được sử dụng nhằm:
Xác định mối liên hệ giữa các tiến trình với nhau
Có 2 phương pháp để thu lại bộ nhớ khả biến
xem có tiến trình nào lạ đang tồn tại trên hệ thống hay
khơng
4. Liệt kê các kết nối mạng có trong hệ thống
Việc liệt kê các kết nối
mục đích là để xem nếu
Có 2 phương pháp để thu lại bộ nhớ khả biến
có kết nối ra ngồi hệ
thống thì những kết nối
đó thuộc về tiến trình
Kiểm tra các kết nối mạng
nào.
5. Phục hồi các tập tin ánh xạ trong bộ nhớ
Các tệp đã bị đóng thường vẫn cịn trong bộ nhớ, q trình khơi phục
các tệp như vậy tương
tự nhưpháp
việc
dựng
lạikhả
các
tệp trên một đĩa
Có 2 phương
đểxây
thu lại
bộ nhớ
biến
cứng đã bị xóa.
Thơng thường, nhìn vào bảng phân trang sẽ cho phép các tệp được tạo
lại ngay cả khi chúng khơng cịn hoạt động trong bộ nhớ.
6. Phân tích ngược tập tin chứa mã độc
Kĩ thuật này thường áp dụng khi chúng ta trích xuất tập tin nghi ngờ
chứa mã độc để phân tích => mã nguồn của mã độc.
Để phân tích mãCó
độc
ngườipháp
phân
tíchlạicần
tạo
rabiến
những mơi trường ảo
2 phương
để thu
bộ nhớ
khả
để phân tích, đảm bảo mã độc khơng thể lây nhiễm ra ngồi.
7. Phân tích registry
Hầu hết khi kiểm tra các phần mềm độc hại tồn tại trên một hệ thống,
thì chúng ta thường kiểm tra registry.
Trong trường hợp phân tích điều tra bộ nhớ khả biến thì với việc phân
Có 2 phương pháp để thu lại bộ nhớ khả biến
tích registry chúng ta sẽ thực hiện việc tạo dựng lại dữ liệu registry.
Volatility
Công
cụ
DFF - Digital Forensic Framework
The Sleuth Kit và Autospy
SANS Investigate Forensic Toolkit (SIFT)
1. Volatility
Volatility là một framework
với rất nhiều plugins được
dùng để phân tích và tìm
kiếm thơng tin từ chứng
cứ thu được.
Các plugins mà volatility hỗ trợ
1. Volatility
Ngồi giao diện sử dụng dịng
lệnh thì volatility cịn được
cộng đồng mã nguồn mở phát
triển thêm giao diện web để
giúp cho người phân tích có
cái nhìn trực quan hơn.
Giao diện VolUtility
2. DFF - Digital Forensic Framework
DFF là phần mềm mã nguồn mở phục vụ cho việc điều
chứng cứ tội phạm cơng nghệ cao.
Một số tính năng mà DFF hỗ trợ:
Phân tích và xây dựng lại Windows registry
Trích xuất ra nhiều dữ liệu và siêu dữ liệu
Phục hồi dữ liệu ẩn và dữ liệu bị xóa
Liệt kê các tiến trình đang chạy
Liệt kê các kết nối mạng đang tồn tại trên hệ thống
Sử dụng tính năng tìm kiếm dựa vào thời gian, nội
dung
2. DFF - Digital Forensic Framework
Giao diện của DFF