Memory Forensics
Explore Now
Điều tra số trên bộ nhớ máy tính
ThS. Nguyễn Trọng Minh Hồng Phước
Lập trình an ninh thông tin
By: Nguyễn Hữu Đang Mssv: 2287700016
Nguyễn Trần Phú Mssv: 2287700063
Mục Tiêu
Hiểu được Memory Forensics là gì
Tầm quan trọng của điều tra số
Các kỹ thuật và công cụ chính
Ứng dụng thực tế trong an ninh mạng
Memory Forensics là gì ?
Thu thập & phân tích dữ liệu từ bộ nhớ RAM.
Định nghĩa
Dữ liệu được lưu trong RAM không tồn tại lâu dài
Tính volatile ( tính khả biến )
Process & thread đang chạy
Network connections
Registry keys
Passwords, encryption keys
Malware & rootkits
Thông tin thu thập được
Tầm quan trọng của Memory Forensics
Phát hiện malware ẩn trong bộ nhớ RAM
Hỗ trợ incident response nhanh chóng
Phân tích hành vi & kỹ thuật của kẻ tấn công
Tái dựng timeline của sự cố an ninh
Thu thập chứng cứ không tồn tại trên ổ cứng
Quy trình Memory Forensics
04
Documentation
Ghi chép, lưu trữ chi tiết quá trình
01
Acquisition
Thu thập memory dump
02
Preservation
Bảo toàn tính toàn vẹn dữ liệu
03
Analysis
Phân tích dữ liệu trong RAM
05
Reporting
Báo cáo kết quả & kết luận
Live acquisition
Crash dumps
DumpIt, FTK Imager, WinPmem
Blue Screen memory dumps
VM snapshots
VMware, VirtualBox
Hardware-based
Cold boot & DMA attacks
Kỹ thuật thu thập
Redline – Công cụ của FireEye
SIFT Workstation – Bộ công cụ forensic của SANS
Volatility Framework – Open-source, phổ biến nhất
Rekall – Framework của Google
VolatilityBot – Phân tích tự động dựa trên Volatility
Công cụ phân tích
Process analysis
pslist, pstree, psxview
Network analysis
netscan, netstat
Registry analysis
printkey, hivelist
Malware detection
malfind, apihooks, ssdt
Timeline analysis
timeliner, mftparser
Các kỹ thuật phân tích
Thank
You