Upload
hosein-khoshraftar
View
209
Download
9
Embed Size (px)
Citation preview
YOUR LOGO
1Memory Forensics Basics
مبانی پزشکی قانونی حافظه
حسین خوش رفتار منفرد1394بهار
YOUR LOGO 2
مقدمه
به معنای کشف و استخراج اطالعات از حافظه کامپیوتر است.• حاوی اطالعات مهم و حیاتی می باشد.RAMوقتی کامپیوتر در حال کار است، حافظه •با کپی برداری از وضعیت کنونی حافظه و انتقال آن به کامپیوتر دیگر سپس آنالیز اطالعات می •
تواند وضعیت سیستم را باز سازی نمود. این اطالعات می تواند شامل موارد ذیل باشد:•
.برنامه هایی که کاربر در حال استفاده از آنها است.اتصاالت شبکه کنونی کاربر. ...و
مفهوم حفظ حافظه و کشف اطالعات مشخص از بررسی حافظه تکنیک جدید نیست و •سالهاست مورد استفاده قرار می گیرد.
بسیاری از مراکز جهت کشف بدافزارها )مهندسی معکوس و بازگشایی بسته ها( از این تکنیک •استفاده می کنند.
Khoshraftar.infoPhone: +98 (912) 9329989
YOUR LOGO 3
چرا اینقدر مهم؟!؟
Khoshraftar.infoPhone: +98 (912) 9329989
متخصRصی امنیتRی که مهارت این دارای بسیار هسRRRRتند
می بهتRر و سRریعتر به نسRRبت تواننRRد بدافزارها کشRRRف
اقدام کنند
YOUR LOGO 4
چرا اینقدر مهم؟!؟
Khoshraftar.infoPhone: +98 (912) 9329989
طوری را بدافزارها مهاجمیRن طراحی مRی کنند تا کامال در رم به نتوانRد تRا کسRی اجرا شونRد آRن دسRترسی داشتRه باشد. اگر را حافظه امنیRت متخRصRصی شانس تقریبRا نکننRد بررسRی دست از را بدافزار شناسRایی
می دهند.
نیاز منابع مورد و هRا کRد بدافزارهRا کنند. می پنهان دیRRد از را خود دیگر بRRا تنهRRا بدافزارهRRا اینگونRRه آلوده کامپیوتر دیگRر های پروسRس اجرا مRی شوند. پنهان سRازی جهت پزشکی در حتRRی نشدن کشRRف پیچیده های فرآیند نیازمنRد قانونRی پیاده سازی معموال کRه اسRت تری
نمی شوند.هماننRد نظریRه انیشتین در دنیای هر نیRز کامپیوتRر در واقعRی، دارد. العملی عکRRس عملRRی با تواننRد مRی مهاجمیRن گرچRه از سRیستم عامل کافRی دانRش نسبت به پنهان سازی اطالعات توانند نمRی امRا کننRد، اقدام های فراخوانی جانبRی تاثیرات
API اگر کنند. معدوم را ایRن عکس بRا امنیRت متخصRص العمRل هRا آشنRا باشRد مRی تواند را شناسایی بدافزار کار نحوه
کند.
YOUR LOGO 5
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
تحلیلگرها می توانند با حجم اطالعات زیادی را درباره سیستمی که در حال بررسی حافظه آن هستند بدست بیاورند.
شناسایی اینکه کدام پردازه در حال حاضر
برقرار است. این اطالعات شامل
Proccess ID ، Thread ID و زمان شروع و
پایان آن است
• Proccess Explorer• Task Manager
YOUR LOGO 6
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
های DLLشمارش بازگذاری شده در
پردازه ها و همچنین آدرس آن ها در
حافظه، اندازه و مسیر فایل در دیسک
سخت• Process Explorer• Listdlls.exe
YOUR LOGO 7
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
شناسایی اینکه کدام پورتها و پروتکلها در حال
IPاستفاده هستند، داخلی و خارجی،
Process ID پردازهای که اتصال یا سوکت را
برقرار میکند.• Fport• ActivePorts• TcpView• NetStat
YOUR LOGO 8
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
شناسایی اینکه کدام ماژول کرنل بارگذاری شده است، به همراه
آدرس پایه ، اندازه و نام آنها
• GMER• IceSword• WinDBG
YOUR LOGO 9
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
کپی فایل های اجرایی ها، DLLمتفرقه،
درایورهای کرنل و .. در حالت کاربر یا کرنل
برای بررسی• LordPE• Procdump• Debugger Plugins
YOUR LOGO 10
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
چاپ آدرس و اندازه تمام حافظه اختصاص
یافته به پردازه
• Vmmap• OllyDbg
YOUR LOGO 11
قابلیت ها
Khoshraftar.infoPhone: +98 (912) 9329989
شناسایی فایل ها و کلیدهای رجیستری که
در هنگام کپی کردن حافظه توسط پردازه باز
شده اند.• Process Explorer• Handles.exe
YOUR LOGO
فریم ورک های آنالیز حافظهفاکتورهای مهم در انتخاب فریم ورک
هزینهزبان برنام.ه نویس.ی توس.عه افزونه ها
سیستم عامل میزبان
قابل اطمینان بودن
YOUR LOGOفریم ورک های آنالیز حافظه
$1,5
00–9
,000
C# .Net
Win
dow
s
HBGary Responder
YOUR LOGOفریم ورک های آنالیز حافظه
Free
Clos
ed S
ourc
e
XML
and
prop
rieta
ry
Win
dow
s
Mandiant Memoryze
YOUR LOGOفریم ورک های آنالیز حافظه
Free
Open
Sou
rce
Pyth
onW
indo
ws,
Linu
xOS
X Volatility
فریم ورک محبوب مهندسین امنیتی•امروزآشنایی با نحوه عملکرد ابزار اولویت دارد بر نحوه استفاده از آن•از آنجا که این فریم ورک منبع باز است، یادگیری عملکرد آن آسان می باشد•امروزه بسیاری از مهندسین امنیتی با بررسی کد این فریم ورک با انواع روش های آنالیز •
آشنا می شوند
YOUR LOGO
استخراج حافظه
Khoshraftar.infoPhone: +98 (912) 9329989
16
win32ddبا استفاده از ابزار •پشتیبانی از بازه وسیعی از سیستم عامل ها•checksumقابلیت محاسبه •درک وضعیت کالینت و سرور جهت بررسی نقل و انتقاالت شبکه•
• F:\>win32dd.exe /f mem.dmp /s 1