Đề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
Đề tài:Tìm hiểu một số kỹ thuật thu thập
và phân tích thông tin an ninh mạng từ bộ
nhớ máy tính
Lớp: L01
Giảng viên: Nguyễn Thị Hồng Hà
Trang 2Sinh viên thực hiện:
Nguyễn Thị Ninh - AT140229
Phạm Thị Lưu Ly - AT140222
Hoàng Thị Lan - AT140220
Nguyễn Văn Tuấn - AT140450
Trang 4ng tin an ninh mạng từ bộ nhớ máy tính
1 Giới thiệu phân tích điều tra và thu thập thông tin bộ nhớ máy tính
2. Quy trình thu thập và phân tích thông tin từ bộ nhớ máy tính
Trang 51. Giới thiệu phân tích điều tra và thu thập thông tin bộ nhớ máy tính
Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại
bộ nhớ RAM của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc đang bị tấn công để tiến hành điều tra
Thu thập thông tin bộ nhớ máy tính: Về cơ bản, thu thập bộ nhớ là
sao chép nội dung của bộ nhớ vật lý sang thiết bị lưu trữ khác để bảo quản
Trang 7MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU
THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH
MẠNG TỪ BỘ NHỚ MÁY TÍNH
Trang 8Kỹ
thuật
Thu lại bộ nhớ khả biến
Xác định nơi tìm bộ nhớ khả biến
Liệt kê các tiến trình đang được thực thi
Liệt kê các kết nối mạng có trong hệ thống
Phục hồi các tập tin ánh xạ trong bộ nhớ
Phân tích ngược tập tin chứa mã độc
Phân tích registry
Trang 9Có 2 phương pháp để thu lại bộ nhớ khả biến
1 Thu lại bộ nhớ khả biến
Thu dựa trên phần cứng: liên quan đến việc tạm ngưng quá trình
xử lý của máy tính và thực hiện truy cập bộ nhớ trực tiếp (DMA) để có được một bản sao của bộ nhớ
Thu dựa trên phần mềm: là một kỹ thuật được sử dụng phổ biến
bằng việc sử dụng bộ công cụ đánh giá tin cậy được phát triển và
cung cấp bởi các chuyên gia điều tra số
Có 2 phương pháp để thu lại bộ nhớ khả biến:
Trang 10Có 2 phương pháp để thu lại bộ nhớ khả biến
2 Xác định nơi tìm bộ nhớ khả biến
Trong Windows, có 2 đối tượng thiết bị phổ biến có thể được
truy cập để lấy bộ nhớ khả biến là: \\.\PhysicalMemory và \\.\
DebugMemory.
- Trong Unix, các thiết bị bộ nhớ vật lý thường là /dev/mem/
và /proc/kcore.
Trang 11Có 2 phương pháp để thu lại bộ nhớ khả biến
3 Liệt kê các tiến trình đang được thực thi
Kỹ thuật này được sử dụng nhằm:
Xác định mối liên hệ giữa các tiến trình với nhau
xem có tiến trình nào lạ đang tồn tại trên hệ thống hay không
Trang 12Có 2 phương pháp để thu lại bộ nhớ khả biến
4 Liệt kê các kết nối mạng có trong hệ thống
Kiểm tra các kết nối mạng
Việc liệt kê các kết nối
mục đích là để xem nếu
có kết nối ra ngoài hệ thống thì những kết nối
đó thuộc về tiến trình nào
Trang 13Có 2 phương pháp để thu lại bộ nhớ khả biến
5 Phục hồi các tập tin ánh xạ trong bộ nhớ
Các tệp đã bị đóng thường vẫn còn trong bộ nhớ, quá trình khôi phục các tệp như vậy tương tự như việc xây dựng lại các tệp trên một đĩa
cứng đã bị xóa
Thông thường, nhìn vào bảng phân trang sẽ cho phép các tệp được tạo lại ngay cả khi chúng không còn hoạt động trong bộ nhớ
Trang 14Có 2 phương pháp để thu lại bộ nhớ khả biến
6 Phân tích ngược tập tin chứa mã độc
Kĩ thuật này thường áp dụng khi chúng ta trích xuất tập tin nghi ngờ
chứa mã độc để phân tích => mã nguồn của mã độc
Để phân tích mã độc người phân tích cần tạo ra những môi trường ảo
để phân tích, đảm bảo mã độc không thể lây nhiễm ra ngoài
Trang 15Có 2 phương pháp để thu lại bộ nhớ khả biến
7 Phân tích registry
Hầu hết khi kiểm tra các phần mềm độc hại tồn tại trên một hệ thống,
thì chúng ta thường kiểm tra registry
Trong trường hợp phân tích điều tra bộ nhớ khả biến thì với việc phân
tích registry chúng ta sẽ thực hiện việc tạo dựng lại dữ liệu registry
Trang 16Công
cụ
Volatility
DFF - Digital Forensic Framework
The Sleuth Kit và Autospy
SANS Investigate Forensic Toolkit (SIFT)
Trang 181 Volatility
Giao diện VolUtility
Ngoài giao diện sử dụng dòng
lệnh thì volatility còn được
cộng đồng mã nguồn mở phát
triển thêm giao diện web để
giúp cho người phân tích có
cái nhìn trực quan hơn.
Trang 192 DFF - Digital Forensic Framework
DFF là phần mềm mã nguồn mở phục vụ cho việc điều chứng cứ tội phạm công nghệ cao
Một số tính năng mà DFF hỗ trợ:
Phân tích và xây dựng lại Windows registry
Trích xuất ra nhiều dữ liệu và siêu dữ liệu
Phục hồi dữ liệu ẩn và dữ liệu bị xóa
Liệt kê các tiến trình đang chạy
Liệt kê các kết nối mạng đang tồn tại trên hệ thống
Sử dụng tính năng tìm kiếm dựa vào thời gian, nội
dung
Trang 202 DFF - Digital Forensic Framework
Giao diện của DFF
Trang 213 The Sleuth Kit và Autospy
Là bộ công cụ mã nguồn mở hỗ trợ nhiều hệ điều hành như
windows, Linux, OSX
Được sử dụng để phân tích bộ nhớ khả biến được ghi lại từ hệ thống
Thực hiện phân tích chuyên sâu hệ thống các tập tin như NTFS, FAT, HFS+, Ext3 và UFS
và nhiều loại ổ đĩa khác của hệ thống
Giao diện công cụ The Sleuth Kit
Trang 224.SANS Investigate Forensic Toolkit (SIFT)
SANS SIFT là môi trường điều tra số, tập trung và chọn lọc lại các công cụ điều tra số và tích hợp sẵn trong môi
trường hệ thống
Giao diện SANS SIFT
Trang 23TRIỂN KHAI MÔ HÌNH THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH BẰNG CÔNG CỤ VOLATILITY
Trang 24Cảm ơn cô giáo và các bạn đã theo dõi!