Криминалистика памяти - Memory forensics

Криминалистика памяти является судебно-медицинский анализ компьютер с дамп памяти. Его основное применение - исследование сложных компьютерные атаки которые достаточно скрытны, чтобы не оставлять данные на компьютере жесткий диск. Следовательно, память (баран ) должны быть проанализированы на предмет криминалистической информации.

История

Инструменты нулевой генерации

До 2004 г. криминалистическая экспертиза памяти проводилась на для этого случая основы, используя общие инструменты анализа данных, такие как струны и grep. Эти инструменты не созданы специально для криминалистики памяти, поэтому их сложно использовать. Они также предоставляют ограниченную информацию. Как правило, их основное использование - извлечение текста из дампа памяти.[1]

Много операционные системы предоставить разработчикам ядра и конечным пользователям возможности для создания моментального снимка физической памяти для любого отладка (дамп ядра или же Синий экран смерти ) целей или улучшения опыта (Гибернация (вычисления) ). В случае Майкрософт Виндоус, аварийные дампы и гибернация присутствовали с тех пор, как Microsoft Windows NT. Дампы сбоев Microsoft всегда анализировались Microsoft WinDbg, и файлы гибернации Windows (hiberfil.sys) в настоящее время конвертируются в аварийные дампы Microsoft с помощью таких утилит, как ЛунаСоль Набор инструментов памяти Windows, разработанный Матье Суиш.

Инструменты первого поколения

В феврале 2004 года Майкл Форд представил криминалистику памяти в расследованиях безопасности в статье в SysAdmin Magazine.[2] В этой статье он продемонстрировал анализ руткита на основе памяти. В процессе использовался существующий Linux крушение Утилита, а также два инструмента, разработанные специально для восстановления и анализа памяти криминалистически, memget и mempeek.

В 2005 году, DFRWS выпустил конкурс судебной экспертизы анализа памяти.[3] В ответ на эту проблему было создано больше инструментов этого поколения, специально разработанных для анализа дампов памяти. Эти инструменты знали Операционная система внутренний структуры данных, и, таким образом, были способны реконструировать Операционная система с процесс список и обработка информации.[3]

Хотя они были задуманы как инструменты исследования, они доказали, что Операционная система судебная экспертиза памяти на уровне возможна и практична.

Инструменты второго поколения

Впоследствии было разработано несколько инструментов криминалистической экспертизы памяти, предназначенных для практического использования. К ним относятся как коммерческие инструменты, такие как Responder PRO, так и Memoryze, ЛунаСоль Набор инструментов памяти Windows, Winen, Белкасофт Live RAM Capturer и т.д .; Открытый исходный код такие инструменты, как Волатильность. Добавлены новые функции, такие как анализ дампов памяти Linux и Mac OS X, а также существенные академическое исследование было выполнено.[4][5]

В отличие от Microsoft Windows, Mac OS X интерес является относительно новым и был инициирован только Матье Суиш[6] в 2010 году во время Брифинги Black Hat конференция по безопасности.

В настоящее время криминалистическая экспертиза памяти является стандартным компонентом реакция на инцидент.[7]

Инструменты третьего поколения

С 2010 года мы начали видеть больше утилит, ориентированных на аспект визуализации анализ памяти Такие как ЛунаСоль LiveCloudKd представлен[8] к Матье Суиш в Брифинги по безопасности Microsoft BlueHat это вдохновило[9] новая функция в Microsoft LiveKd, написанная Марк Руссинович[10] чтобы разрешить интроспекцию виртуальных машин путем доступа к памяти гостевой виртуальной машины с главной виртуальной машины, чтобы либо проанализировать их напрямую с помощью Microsoft WinDbg или получить дамп памяти в формате файла аварийного дампа Microsoft.

Рекомендации

  1. ^ Дэн Фармер и Витсе Венема.Криминалистическое открытие.Глава 8.
  2. ^ Форд, Майкл. (2004) Криминалистическая экспертиза памяти Linux Журнал SysAdmin.
  3. ^ а б DFRWS 2005 Forensics Challenge В архиве 2013-04-26 в Wayback Machine
  4. ^ Петрони, Н. Л., Уолтерс, А., Фрейзер, Т., и Арбо, В. А. (2006). FATKit: фреймворк для извлечения и анализа цифровых данных криминалистической экспертизы из энергозависимой системной памяти.. Цифровое расследование, 3 (4), 197-210.
  5. ^ Иноуэ, Х., Адельштейн, Ф. и Джойс, Р. А. (2011). Визуализация при тестировании инструмента судебной экспертизы энергозависимой памяти. Цифровое расследование, 8, S42-S51.
  6. ^ Матье Суиш. Брифинги Black Hat DC 2010.Расширенный анализ физической памяти Mac OS X.
  7. ^ Институт SANS. Криминалистическая экспертиза памяти для реагирования на инциденты.
  8. ^ Матье Суиш. Конференция Microsoft Blue Hat Hacker Осень 2010 г.Синий экран смерти мертв.
  9. ^ LiveKd для отладки виртуальных машин
  10. ^ https://technet.microsoft.com/en-us/sysinternals/livekd.aspx