Memory forensics - مبانی پزشکی قانونی حافظه

YOUR LOGO

1Memory Forensics Basics

مبانی پزشکی قانونی حافظه

حسین خوش رفتار منفرد1394بهار

YOUR LOGO 2

مقدمه

به معنای کشف و استخراج اطالعات از حافظه کامپیوتر است.• حاوی اطالعات مهم و حیاتی می باشد.RAMوقتی کامپیوتر در حال کار است، حافظه •با کپی برداری از وضعیت کنونی حافظه و انتقال آن به کامپیوتر دیگر سپس آنالیز اطالعات می •

تواند وضعیت سیستم را باز سازی نمود. این اطالعات می تواند شامل موارد ذیل باشد:•

.برنامه هایی که کاربر در حال استفاده از آنها است.اتصاالت شبکه کنونی کاربر. ...و

مفهوم حفظ حافظه و کشف اطالعات مشخص از بررسی حافظه تکنیک جدید نیست و •سالهاست مورد استفاده قرار می گیرد.

بسیاری از مراکز جهت کشف بدافزارها )مهندسی معکوس و بازگشایی بسته ها( از این تکنیک •استفاده می کنند.

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

YOUR LOGO 3

چرا اینقدر مهم؟!؟

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

متخصRصی امنیتRی که مهارت این دارای بسیار هسRRRRتند

می بهتRر و سRریعتر به نسRRبت تواننRRد بدافزارها کشRRRف

اقدام کنند

YOUR LOGO 4

چرا اینقدر مهم؟!؟

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

طوری را بدافزارها مهاجمیRن طراحی مRی کنند تا کامال در رم به نتوانRد تRا کسRی اجرا شونRد آRن دسRترسی داشتRه باشد. اگر را حافظه امنیRت متخRصRصی شانس تقریبRا نکننRد بررسRی دست از را بدافزار شناسRایی

می دهند.

نیاز منابع مورد و هRا کRد بدافزارهRا کنند. می پنهان دیRRد از را خود دیگر بRRا تنهRRا بدافزارهRRا اینگونRRه آلوده کامپیوتر دیگRر های پروسRس اجرا مRی شوند. پنهان سRازی جهت پزشکی در حتRRی نشدن کشRRف پیچیده های فرآیند نیازمنRد قانونRی پیاده سازی معموال کRه اسRت تری

نمی شوند.هماننRد نظریRه انیشتین در دنیای هر نیRز کامپیوتRر در واقعRی، دارد. العملی عکRRس عملRRی با تواننRد مRی مهاجمیRن گرچRه از سRیستم عامل کافRی دانRش نسبت به پنهان سازی اطالعات توانند نمRی امRا کننRد، اقدام های فراخوانی جانبRی تاثیرات

API اگر کنند. معدوم را ایRن عکس بRا امنیRت متخصRص العمRل هRا آشنRا باشRد مRی تواند را شناسایی بدافزار کار نحوه

کند.

YOUR LOGO 5

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

تحلیلگرها می توانند با حجم اطالعات زیادی را درباره سیستمی که در حال بررسی حافظه آن هستند بدست بیاورند.

شناسایی اینکه کدام پردازه در حال حاضر

برقرار است. این اطالعات شامل

Proccess ID ، Thread ID و زمان شروع و

پایان آن است

• Proccess Explorer• Task Manager

YOUR LOGO 6

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

های DLLشمارش بازگذاری شده در

پردازه ها و همچنین آدرس آن ها در

حافظه، اندازه و مسیر فایل در دیسک

سخت• Process Explorer• Listdlls.exe

YOUR LOGO 7

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

شناسایی اینکه کدام پورتها و پروتکلها در حال

IPاستفاده هستند، داخلی و خارجی،

Process ID پردازهای که اتصال یا سوکت را

برقرار میکند.• Fport• ActivePorts• TcpView• NetStat

YOUR LOGO 8

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

شناسایی اینکه کدام ماژول کرنل بارگذاری شده است، به همراه

آدرس پایه ، اندازه و نام آنها

• GMER• IceSword• WinDBG

YOUR LOGO 9

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

کپی فایل های اجرایی ها، DLLمتفرقه،

درایورهای کرنل و .. در حالت کاربر یا کرنل

برای بررسی• LordPE• Procdump• Debugger Plugins

YOUR LOGO 10

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

چاپ آدرس و اندازه تمام حافظه اختصاص

یافته به پردازه

• Vmmap• OllyDbg

YOUR LOGO 11

قابلیت ها

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

شناسایی فایل ها و کلیدهای رجیستری که

در هنگام کپی کردن حافظه توسط پردازه باز

شده اند.• Process Explorer• Handles.exe

YOUR LOGO

فریم ورک های آنالیز حافظهفاکتورهای مهم در انتخاب فریم ورک

هزینهزبان برنام.ه نویس.ی توس.عه افزونه ها

سیستم عامل میزبان

قابل اطمینان بودن

YOUR LOGOفریم ورک های آنالیز حافظه

$1,5

00–9

,000

C# .Net

Win

dow

s

HBGary Responder

YOUR LOGOفریم ورک های آنالیز حافظه

Free

Clos

ed S

ourc

e

XML

and

prop

rieta

ry

Win

dow

s

Mandiant Memoryze

YOUR LOGOفریم ورک های آنالیز حافظه

Free

Open

Sou

rce

Pyth

onW

indo

ws,

Linu

xOS

X Volatility

فریم ورک محبوب مهندسین امنیتی•امروزآشنایی با نحوه عملکرد ابزار اولویت دارد بر نحوه استفاده از آن•از آنجا که این فریم ورک منبع باز است، یادگیری عملکرد آن آسان می باشد•امروزه بسیاری از مهندسین امنیتی با بررسی کد این فریم ورک با انواع روش های آنالیز •

آشنا می شوند

YOUR LOGO

استخراج حافظه

Khoshraftar.infoPhone: +98 (912) 9329989

info@khoshraftar.info

16

win32ddبا استفاده از ابزار •پشتیبانی از بازه وسیعی از سیستم عامل ها•checksumقابلیت محاسبه •درک وضعیت کالینت و سرور جهت بررسی نقل و انتقاالت شبکه•

• F:\>win32dd.exe /f mem.dmp /s 1