BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN 🙟🙟🙟 PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ …………………………………………………………………………………………… Giảng viên hướng dẫn: Thầy Nguyễn Mạnh Thắng Sinh viên thực hiện: Nguyễn Nhân Hoàng – AT140322 Nguyễn Huy Hoàng – AT140321 Nguyễn Mạnh Hiền – AT140318 Lê Hiền Thùy Trang – AT140248 Lớp: L01 Khóa: K14 Tháng 11 năm 2021 MỤC LỤC DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU CHƯƠNG I: TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính 1.4 Vai trị ứng dụng thu thập phân tích nhớ máy tính 10 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính 11 1.5.1 Kiểm tra xác minh 11 1.5.2 Mô tả hệ thống 12 1.5.3 Thu thập chứng 12 1.5.4 Thiết lập mốc thời gian phân tích 13 1.5.5 Phân tích phương tiện truyền liệu 13 1.5.6 Khơi phục liệu 13 1.5.7 Tìm kiếm chuỗi 14 1.5.8 Lập báo cáo 14 CHƯƠNG II: MỘT SỐ KỸ THUẬT VÀ CƠNG CỤ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 15 2.1 Các kỹ thuật sử dụng thu thập phân tích thơng tin từ nhớ máy tính 15 2.1.1 Thu lại nhớ khả biến 15 2.1.2 Xác định nơi tìm nhớ khả biến 16 2.1.3 Liệt kê tiến trình thực thi 16 2.1.4 Liệt kê kết nối mạng có hệ thống 17 2.1.5 Phục hồi tập tin ánh xạ nhớ 17 2.1.6 Phân tích ngược tập tin chứa mã độc 18 2.1.7 Phân tích registry 19 2.2 Một số cơng cụ 19 2.2.1 Volatility 19 2.2.2 DFF - Digital Forensic Framework 21 2.2.3 The Sleuth Kit Autopsy 22 2.2.4 SANS Investigate Forensic Toolkit (SIFT) 23 CHƯƠNG III: THỰC HIỆN TÌNH HUỐNG MINH HỌA 24 3.1 Xây dựng 24 3.2 Quy trình thực hiện: 25 3.3 Triển khai 26 3.4 Báo cáo kết đạt 38 CHƯƠNG IV: KẾT LUẬN 40 TÀI LIỆU THAM KHẢO 41 PHỤ LỤC: Danh sách phân chia cơng việc DANH MỤC HÌNH ẢNH Hình 1: Sơ đồ quy trình điều tra nhớ 11 Hình 1: Kiểm tra kết nối mạng Hình 2: Các plugins mà volatility hỗ trợ Hình 3: Giao diện VolUtility Hình 4: Cài đặt Volatility Hình 5: Thư mục Volatility sau giải nén Hình 6: File tải xuống sử dụng CMD Hình 7: Chạy volatility với file cần điều tra WINDOWS7.raw Hình 8: Cài đặt Volatility (2) Hình 9: Giải nén file unzip Hình 10: Chạy lệnh Kali Hình 11: Giao diện DFF Hình 12: Giao diện cơng cụ The Sleuth Kit Hình 13: Giao diện SANS SIFT 17 20 21 21 22 22 23 23 24 24 25 26 27 Hình 1: Mã độc Bonzify 28 Hình 2: Trạng thái CPU sau nhiễm mã độc 29 Hình 3: Sử dụng cơng cụ Dumpit để ghi lại nhớ 30 Hình 4: Sử dụng MD5 checker tạo mã MD5 30 Hình 5: File chứng đưa vào mơi trường để phân tích 31 Hình 6: Kiểm tra lại mã MD5 để đảm bảo tính tồn vẹn chứng 31 Hình 7: Sử dụng module imageinfo kiểm tra thông tin mơi trường phân tích 32 Hình 8: Module pslist Volatility 33 Hình 9: Module pslist Volatility(2) 33 Hình 10: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn 33 Hình 11: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn(2) 34 Hình 12: Tiến trình cha/con với module pstree 34 Hình 13: Tiến trình cha/con với module pstree (2) 35 Hình 14: Cmd tiến trình 2896 35 Hình 15: Các thư viện dll mà tiến trình Bonzify.exe sử dụng 36 Hình 16: Trích xuất chương trình từ tiến trình 2896 36 Hình 17: File chương trình từ tiến trình vừa trích xuất 36 Hình 18: Kiểm tra file vừa trích xuất với Virustotal 37 Hình 19: Kết scan 37 Hình 20: Module netscan 38 Hình 21: Module netscan (2) 39 Hình 22: Phân tích Registry 40 Hình 23: Phân tích Registry sử dụng module hashdump 40 LỜI MỞ ĐẦU Trong thời đại công nghệ thông tin truyền thông phát triển nay, không cá nhân, tổ chức, doanh nghiệp tách rời máy tính mạng máy tính Chính vậy, hoạt động phạm tội đối tượng sử dụng công nghệ cao ngày phổ biến, thủ đoạn phạm tội chúng ngày tinh vi Trên lĩnh vực an ninh quốc gia, lực thù địch không ngừng tập trung lợi dụng công nghệ thông tin, mạng viễn thông để xuyên tạc, vu khống chống phá Nhà nước Trên lĩnh vực trật tự, an tồn xã hội, tình hình an ninh mạng Việt Nam diễn biến phức tạp, nhiều vụ công, phá hoại, lây nhiễm virus, phần mềm gián điệp, mã tin học độc hại nhằm vào hệ thống mạng quan nhà nước tư nhân với mức độ, tính chất ngày nghiêm trọng Vì vậy, nhóm em lựa chọn đề tài “Thu thập phân tích chứng từ nhớ” để tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng lấy từ nhớ máy tính triển khai hướng giải Mục đích chọn đề tài “Thu thập phân tích chứng từ nhớ” chúng em tìm hiểu kiến thức tổng quan việc thu thập phân tích chứng từ nhớ máy tính, giới thiệu cơng cụ phân tích thường sử dụng thực tình minh họa Hơn nữa, việc thực đề tài hỗ trợ nhóm chúng em việc định hướng việc làm giúp chúng em có thêm kiến thức tảng, bổ ích để phục vụ cho công việc sau CHƯƠNG I: TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, cơng gây gián đoạn q trình làm việc hệ thống Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Một số loại hình điều tra số phổ biến: - Registry Forensics: Đây loại hình điều tra liên quan đến việc trích xuất thông tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Registry - Disk Forensics: Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khơi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích - Mobile forensics: Là loại hình điều tra thực thiết bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập liệu, chứng kỹ thuật số - Application Forensics: Là loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng - Network Forensics: Là nhánh digital forensics liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thơng tin, kiện liên quan, tìm kiếm chứng pháp lý, mục đích phát bất thường, dấu hiệu xâm nhập môi trường mạng - Memory Forensics: Là phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ 1.2 Giới thiệu phân tích điều tra nhớ máy tính Memory Forensics kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Kỹ thuật điều tra sử dụng q trình phân tích tĩnh từ gói tin thu được, thông tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, cung cấp thơng tin có chưa đầy đủ, chưa đủ sức thuyết phục Phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng điều tra hình Nhưng cụ thể kỹ thuật mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Tính hữu ích loại hình điều tra thực tế, thơng tin tìm thấy nhớ RAM, hiểu gần chạy hệ thống nạn nhân 1.3 Giới thiệu thu thập nhớ máy tính Sự thành cơng phân tích thường phụ thuộc vào khởi đầu giai đoạn thu thập điều tra Trong giai đoạn này, điều tra viên phải đưa định liệu cần thu thập phương pháp tốt để thu thập liệu Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp công cụ cụ thể sử dụng thường phụ thuộc vào mục tiêu điều tra đặc điểm hệ thống điều tra Một nhà điều tra kỹ thuật số tìm cách bảo vệ trạng thái môi trường kỹ thuật số theo cách cho phép điều tra viên đạt suy luận xác thơng qua phân tích Dữ liệu lưu trữ đĩa RAM cung cấp hai thành phần quan trọng mơi trường đó.Quan điểm truyền thống điều tra số tập trung vào giả định độ tin cậy suy luận hoàn toàn phụ thuộc vào việc thu thập chứng mà không thay đổi trạng thái Ví dụ, thủ tục xử lý chứng thường chấp nhận liên quan đến việc tắt hệ thống tạo (ảnh) liệu thiết bị lưu trữ đĩa để phân tích ngoại tuyến Các quy trình thủ tục chuyển đổi tập trung vào việc giảm thiểu thay đổi file liệu hệ thống Khi lĩnh vực kỹ thuật điều tra số phát triển, trở nên rõ ràng với việc lưu trữ chọn lọc số chứng chi phí chứng quan trọng khác ảnh hưởng đến độ xác suy luận đưa Điều đặc biệt quan trọng tác nhân độc hại ln tìm cách khai thác hạn chế kỹ thuật thu thập chứng pháp y kỹ thuật số truyền thống Bằng cách so sánh liệu từ nhiều nguồn (đĩa, mạng, nhớ, v.v.) mơi trường kỹ thuật số, người dùng hiểu rõ xảy hệ thống so với góc nhìn hạn chế tiếp nhận liệu từ nhớ đĩa Với nguồn thay này, phải chấp nhận tất phương pháp chuyển đổi, bao gồm thủ tục chuyển đổi đĩa truyền thống, dẫn đến số biến dạng môi trường kỹ thuật số Các nhà điều tra phải hiểu cách mà thay đổi tác động đến kết phân tích thứ tự mà cần phải thu thập liệu để giảm tác động Q trình thực thường ưu tiên dựa thứ tự thay đổi giảm dần (tức là, chứng cho thấy thay đổi nhanh thu thập trước chứng ổn định hơn) Và thực tế, điều có nghĩa chứng nhớ khả biến cần thu thập trước 1.4 Vai trò ứng dụng thu thập phân tích nhớ máy tính Khoa học điều tra số chứng minh vai trò quan trọng Memory Forensics, việc điều tra nhớ RAM nơi mà liệu sẵn sàng để ghi lại phân tích, cung cấp chứng có giá trị, vượt qua số hạn chế phương pháp điều tra truyền thống (phân tích đĩa vật lý), giải vấn đề mà công nghệ mã hóa gây khó khăn trình điều tra Những phương pháp phân tích truyền thống bị giới hạn số chỗ, ví dụ tiến hành phân tích thường gặp khó khăn không truy cập liệu mã hóa trừ bẻ khóa mật người dùng Mà khóa mật lưu trữ đĩa Tuy nhiên thiết nạp vào lưu trữ nhớ RAM, tiến hành phân tích nhớ cho phép sử dụng kỹ thuật cơng cụ để khơi phục mật khóa mật mã cách dễ dàng Một hạn chế khác phương pháp điều tra truyền thống người phân tích khơng đủ khả việc khám phá thơng tin tiến trình chạy nhớ, dễ bỏ qua việc điều tra ứng dụng, hệ thống sử dụng thời điểm công diễn ra, liệu che giấu nhớ Nhưng Memory Forensics, việc dễ dàng Ứng dụng Memory Forensics phân tích điều tra cơng máy tính sử dụng cơng nghệ cao, với kỹ thuật tinh vi, đủ để tránh việc để lại chứng ổ đĩa cứng máy tính Chính việc phân tích điều tra nhớ RAM cho nhìn sâu sắc nhất, xác diễn hệ thống thời điểm hệ thống bị cơng 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính Sơ đồ mơ tả quy trình điều tra nhớ máy tính: Hình 1: Sơ đồ quy trình điều tra nhớ 1.5.1 Kiểm tra xác minh Khi bắt đầu trình điều tra nhiệm vụ việc kiểm tra xác minh Việc kiểm tra xác minh cung cấp nhìn bao quát thơng tin 10 Hình 4: Sử dụng MD5 checker tạo mã MD5 Giai đoạn 2: Mô tả hệ thống Hệ thống theo thông tin cung cấp máy Windows SP1 x64 bị tình trạng tải CPU mức 100% Giai đoạn 3: Thu thập chứng Tất thông tin máy tính có sẵn phải đưa vào mơi trường điều tra an tồn để thực cơng việc điều tra, phân tích Ở sử dụng máy ảo Windows 10 mơ để làm mơi trường an tồn số cách để lấy file chứng vừa dump Hình 5: File chứng đưa vào mơi trường để phân tích Nhằm đảm bảo chứng thu thập nguyên vẹn 30 Thực check lại MD5 để kiểm tra tính tồn vẹn file chứng chuyển sang máy phân tích Hình 6: Kiểm tra lại mã MD5 để đảm bảo tính tồn vẹn chứng Giai đoạn 4: Thu thập chứng Sử dụng volatility để phân tích chứng Sử dụng module imageinfo để truy vấn lại thông tin hệ thống Hình 7: Sử dụng module imageinfo kiểm tra thơng tin mơi trường phân tích … 31 Phân tích tiến trình Tất tiến trình chạy lưu trữ nhớ lấy việc sử dụng công cụ dựa vào cấu trúc hệ thống điều tra Từ đưa vào hệ thống kết thúc tiến trình tồn trạng thái khác Trong hệ điều hành có nhiều tiến trình khác nhau, tiến trình tiến trình con, hay tiến trình cha tiến trình kia, tất tiến trình tìm thấy nhớ RAM Các tiến trình ẩn trích xuất khỏi nhớ ghi lại Khi tiến trình kết thúc cư trú nhớ khơng gian cư trú chưa phân bổ lại Sử dụng Volatility với module plist để liệt kê tiến trình chạy thực thi hệ thống thời gian gần nhất: Hình 8: Module pslist Volatility 32 Hình 9: Module pslist Volatility(2) Nâng cao hơn, module psscan liệt kê tiến trình bị ẩn bị Hình 10: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn 33 Hình 11: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn(2) Với module pstree, hiển thị tiến trình cha/con Hình 12: Tiến trình cha/con với module pstree 34 Hình 13: Tiến trình cha/con với module pstree (2) Qua việc phân tích tiến trình chạy thời hệ thống, nhận thấy có process lạ, là: - Bonzify.exe với pid 2896 Tiếp tục xem đoạn command line với tiến trình với module để biết số thông tin đường dẫn file chạy tiến trình Hình 14: Cmd tiến trình 2896 Để hiển thị tệp DLL tải tiến trình, sử dụng module dlllist Module cung cấp thông tin thư viện dll mà tiến trình sử dụng để hoạt 35 động Dựa vào thư viện dll đặc trưng, suy đốn hành vi tiến trình Ngồi ra, tiến trình chèn file dll độc hại vào hệ thống Hình 15: Các thư viện dll mà tiến trình Bonzify.exe sử dụng Trong hình trên, tiến trình Bonzify.exe có đường dẫn thư mục C:\Users\admin\Downloads\File(2)\Bonzify.exe Trích xuất tiến trình nghi ngờ, tiến hành dịch ngược để phân tích sâu tiến trình Sử dụng module prodump Volatility Hình 16: Trích xuất chương trình từ tiến trình 2896 file có tên executable.2896.exe tạo lưu thư mục dump thư mục volatility Hình 17: File chương trình từ tiến trình vừa trích xuất Sau trích xuất tiến trình thành file thực thi, sử dụng công cụ virustotal để xác minh chương trình có độc hại hay khơng 36 Hình 18: Kiểm tra file vừa trích xuất với Virustotal Kết 33/67 engines nhận tiến trình executable.2896.exe mã độc Hình 19: Kết scan Để phân tích rõ xác cách thức hoạt động chương trình này, cần phải sâu vào nội dung phân tích mã độc dịch ngược phần mềm 37 Tuy nhiên, hai nội dung phân tích mã độc dịch ngược phần mềm nằm nội dung tập lớn Bài tập lớn tập trung đến kỹ thuật thu thập phân tích, điều tra số nhớ máy tính Phân tích mạng Thơng tin kết nối mạng bao gồm cổng lắng nghe hệ thống, kết nối thiết lập thông tin liên kết hệ thống với kết nối từ xa, thơng tin lấy từ nhớ Các thông tin kết nối mạng cho ta biết backdoor kết nối hệ thống, máy chủ điều khiển botnet dựa vào kết nối Thơng tin kết nối mạng yếu tố quan trọng đáng tin cậy điều tra hệ thống bị thỏa hiệp Tiến hành phân tích kết nối thời có, dựa vào module netscan Hình 20: Module netscan 38 Hình 21: Module netscan (2) Nếu phát ip nghi ngờ sử dụng cơng cụ ip2location để kiểm tra thông tin địa ip để lấy thông tin quan trọng , ip đáng ngờ Phân tích Registry Các tập tin mở xử lý registry (registry handles) truy xuất tiến trình lưu trữ nhớ Thơng tin tập tin mở hay xử lý liên quan đến Registry có giá trị việc điều tra Có thể hiểu này, giả sử có tiến trình phần mềm độc hại chạy hệ thống tập tin mở giúp người điều tra khám phá nơi mà mã độc hại lưu trữ đĩa Trong trường hợp phân tích điều tra nhớ RAM với việc phân tích Registry phân tích viên thực việc tạo dựng lại liệu registry, ví dụ để hiển thị giá trị chứa trong Registry winlogon, sử dụng lệnh printkey volatility Để xác định địa ảo registry nhớ đường dẫn đầy đủ tương ứng đĩa, sử dụng module hivelist 39 Hình 22: Phân tích Registry Để trích xuất giải mã thơng tin đăng nhập lưu trữ registry, sử dụng module hashdump Hình 23: Phân tích Registry sử dụng module hashdump Qua kiểm tra cho thấy, có user người dùng tạo admin nhanhoang, thuộc group Administrator Có thể user mã độc tạo 3.4 Báo cáo kết đạt Thơng qua q trình phân tích nhớ máy Windows rút kết luận sau: - Tiến trình độc hại là: + Bonzify.exe với pid 2896 có path - Hai tài khoản có quyền quản trị admin nhanhoang kẻ cơng giả mạo 40 Biện pháp khắc phục: - Ngay cách ly máy chủ khỏi môi trường internet - Thực cài đặt vá lỗi Thay đổi toàn mật người dùng - Gỡ bỏ mã độc tồn hệ thống, cài đặt phần mềm antivirus lên hệ thống - Xóa tài khoản kẻ công tạo Thay đổi lại toàn mật hệ thống 41 CHƯƠNG IV: KẾT LUẬN Ngày nay, tình hình an tồn thông tin giới diễn vô phức tạp quan tâm hết Vấn đề an ninh nhớ máy tính nhiều người quan tâm tìm hiểu, đưa giải pháp khác để đảm bảo an ninh cho nhớ máy tính Việc sử dụng kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính giúp người quản lý thông tin an ninh từ nhớ máy tính cách tốt hơn, sớm phát cơng vào nhớ máy tính Báo cáo đạt mục tiêu sau: - Nắm vấn đề thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Các kỹ thuật, quy trình thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Thực thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính cơng cụ Volatility Tuy nhiên, q trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hy vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao 42 TÀI LIỆU THAM KHẢO Kristine Amari- Techniques and Tools for Recovering and AnalyzingData from Volatile Memory - SANS Institute Reading Room site 2009 Roberto Obialero – Forensic Analysis of a Compromised Intranet Server – SANS Institute Reading Room site 2006 Michael Hale Ligh, Andrew Case, Jamie Levy, Aaron Walters – The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory,1st Edition 43 PHỤ LỤC: Danh sách phân chia công việc Họ tên thành viên Công việc Nguyễn Nhân Hồng Tìm tài liệu, báo cáo demo Nguyễn Huy Hồng Tìm tài liệu, slide Nguyễn Mạnh Hiền Tìm tài liệu, báo cáo Lê Hiền Thùy Trang Tìm tài liệu, làm word 44 ... THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính 1.4 Vai trị ứng dụng thu thập phân tích nhớ. .. an ninh mạng lấy từ nhớ máy tính triển khai hướng giải Mục đích chọn đề tài “Thu thập phân tích chứng từ nhớ? ?? chúng em tìm hiểu kiến thức tổng quan việc thu thập phân tích chứng từ nhớ máy tính,... THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng