Криминалистика памяти

Экспертиза памяти — это судебно-медицинский дампа компьютера анализ памяти . Его основное применение — расследование сложных компьютерных атак компьютера , которые достаточно скрытны и позволяют не оставлять данные на жестком диске . Следовательно, память (например, ОЗУ ) необходимо проанализировать на наличие криминалистической информации.

История

Инструменты нулевой генерации

До начала 2000-х годов криминалистика памяти проводилась на разовой основе (так называемый неструктурированный анализ ), часто с использованием универсальных инструментов анализа данных, таких как строки и grep . ^[1] Эти инструменты не созданы специально для анализа памяти, поэтому их сложно использовать. Они также предоставляют ограниченную информацию. В общем, их основное использование — извлечение текста из дампа памяти. ^[2]

Многие операционные системы предоставляют разработчикам ядра и конечным пользователям функции для создания моментального снимка физической памяти либо для целей отладки (например, дамп ядра или «Синий экран смерти »), либо для улучшения работы (например, спящий режим ). В случае с Microsoft Windows аварийные дампы и режим гибернации присутствовали еще со времен Microsoft Windows NT . Дампы сбоев Microsoft всегда анализировались с помощью Microsoft WinDbg , а файлы гибернации Windows ( hiberfil.sys ) в настоящее время можно конвертировать в дампы сбоев Microsoft с помощью таких утилит, как MoonSols Windows Memory Toolkit, разработанный Матье Суишем . ^{[ нужна ссылка ]}

Инструменты первого поколения

Одним из важных шагов на пути к структурированному анализу стала статья в журнале SysAdmin Magazine за февраль 2004 года, где Майкл Форд продемонстрировал более строгую практику анализа памяти. ^[3] В этой статье он анализирует руткит , основанный на памяти , используя существующую аварийную утилиту Linux, а также два инструмента, разработанных специально для криминалистического восстановления и анализа памяти: memget и mempeek. ^{[ нужна ссылка ]}

В 2005 году DFRWS выпустил конкурс по криминалистическому анализу памяти. ^[4] В ответ на этот вызов были созданы дополнительные инструменты этого поколения, специально предназначенные для анализа дампов памяти, такие как MoonSols , KntTools, FATKit, VolaTools и Volatility . ^[1] Эти инструменты знали внутренние структуры данных операционной системы операционной системы и, таким образом, были способны реконструировать список процессов и информацию о процессах. ^[4]

Хотя они были задуманы как инструменты исследования, они доказали, что экспертиза памяти на уровне операционной системы возможна и практична. ^[1]

Инструменты второго поколения

Впоследствии было разработано несколько инструментов криминалистики памяти, предназначенных для практического использования. К ним относятся как коммерческие инструменты, такие как Responder PRO, Memoryze , winen , Belkasoft Live RAM Capturer и т. д. Были добавлены новые функции, такие как анализ дампов памяти Linux и Mac OS X, а также существенные академические исследования . проведены ^[5]^[6]

В отличие от Microsoft Windows, интерес к Mac OS X относительно новый и был инициирован только Матье Суишем. ^[7] в 2010 году во время конференции по безопасности Black Hat Briefings . ^{[ нужна ссылка ]}

В настоящее время криминалистика памяти является стандартным компонентом реагирования на инциденты . ^[1]

Инструменты третьего поколения

Начиная с 2010 года, появилось больше утилит, ориентированных на аспект визуализации анализа памяти, например MoonSols LiveCloudKd. ^[8]^{[ нужна ссылка ]} Матье Суиш на брифингах по безопасности Microsoft BlueHat, которые вдохновили ^[9] новая функция в Microsoft LiveKd, написанная Марком Руссиновичем ^[10] разрешить самоанализ виртуальных машин путем доступа к памяти гостевой виртуальной машины с виртуальной машины хоста, чтобы либо проанализировать их напрямую с помощью Microsoft WinDbg , либо получить дамп памяти в формате файла аварийного дампа Microsoft. ^{[ нужна ссылка ]}

См. также

Ссылки

^ Перейти обратно: ^а ^б ^с ^д Кейс, Эндрю; Ричард III, Золотой Г. (март 2017 г.). «Криминалистика памяти: путь вперед». Цифровая криминалистика . 20 : 23–33. дои : 10.1016/j.diin.2016.12.004 .
^ Дэн Фармер ; Витце Венема . «Глава 8: За пределами процессов» . Судебно-медицинское открытие .
^ Форд, Майкл (2004). «Криминалистика памяти Linux» . Журнал «Сисадмин».
^ Перейти обратно: ^а ^б «Вызов судебной экспертизы DFRWS 2005» . Архивировано из оригинала 7 октября 2006 года.
^ Петрони, Нидерланды; Уолтерс, А.; Фрейзер, Т.; Арбо, Вашингтон (2006). «FATKit: платформа для извлечения и анализа цифровых данных судебно-медицинской экспертизы из энергозависимой системной памяти». Цифровое расследование . 3 (4): 197–210. дои : 10.1016/j.diin.2006.10.001 .
^ Иноуэ, Х.; Адельштейн, Ф.; Джойс, РА (2011). «Визуализация при тестировании инструмента судебно-медицинской экспертизы энергозависимой памяти» . Цифровое расследование . 8 (Дополнение): S42–S51. дои : 10.1016/j.diin.2011.05.006 .
^ Матье Суиш (февраль 2010 г.). «Расширенный анализ физической памяти Mac OS X» (PDF) . DC: Брифинги Black Hat .
^ Матье Суиш (осень 2010 г.). Брифинги по безопасности BlueHat: осенние сессии 2010 г. Хакерская конференция Microsoft Blue Hat . Архивировано из оригинала 20 октября 2010 года.
^ Марк Руссинович . «LiveKd для отладки виртуальных машин» . Архивировано из оригинала 18 октября 2010 года.
^ Марк Руссинович; Кен Джонсон (23 марта 2021 г.). «LiveKd v5.63» .

Внешние ссылки

История криминалистики памяти и структура волатильности

[memory-forensics-1] Перейти обратно: ^а ^б ^с ^д Кейс, Эндрю; Ричард III, Золотой Г. (март 2017 г.). «Криминалистика памяти: путь вперед». Цифровая криминалистика . 20 : 23–33. дои : 10.1016/j.diin.2016.12.004 .

[2] Дэн Фармер ; Витце Венема . «Глава 8: За пределами процессов» . Судебно-медицинское открытие .

[LinuxMemoryForensics_2004-3] Форд, Майкл (2004). «Криминалистика памяти Linux» . Журнал «Сисадмин».

[DFRWS_2005-4] Перейти обратно: ^а ^б «Вызов судебной экспертизы DFRWS 2005» . Архивировано из оригинала 7 октября 2006 года.

[5] Петрони, Нидерланды; Уолтерс, А.; Фрейзер, Т.; Арбо, Вашингтон (2006). «FATKit: платформа для извлечения и анализа цифровых данных судебно-медицинской экспертизы из энергозависимой системной памяти». Цифровое расследование . 3 (4): 197–210. дои : 10.1016/j.diin.2006.10.001 .

[6] Иноуэ, Х.; Адельштейн, Ф.; Джойс, РА (2011). «Визуализация при тестировании инструмента судебно-медицинской экспертизы энергозависимой памяти» . Цифровое расследование . 8 (Дополнение): S42–S51. дои : 10.1016/j.diin.2011.05.006 .

[7] Матье Суиш (февраль 2010 г.). «Расширенный анализ физической памяти Mac OS X» (PDF) . DC: Брифинги Black Hat .

[8] Матье Суиш (осень 2010 г.). Брифинги по безопасности BlueHat: осенние сессии 2010 г. Хакерская конференция Microsoft Blue Hat . Архивировано из оригинала 20 октября 2010 года.

[9] Марк Руссинович . «LiveKd для отладки виртуальных машин» . Архивировано из оригинала 18 октября 2010 года.

[LiveKd-10] Марк Руссинович; Кен Джонсон (23 марта 2021 г.). «LiveKd v5.63» .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]