Đề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhĐề tài Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN Đề tài:Tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Lớp: L01 Giảng viên: Nguyễn Thị Hồng Hà Sinh viên thực hiện: Nguyễn Thị Ninh - AT140229 Phạm Thị Lưu Ly - AT140222 Hoàng Thị Lan - AT140220 Nguyễn Văn Tuấn - AT140450 Nội dung: Tổng quan thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Một số kỹ thuật cơng cụ thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Triển khai mơ hình thu thập phân tích thơng tin an ninh từ nhớ máy tính Tổng quan về thu thập và phân tích thơ ng tin an ninh mạng từ bộ nhớ máy tính Giới thiệu phân tích điều tra thu thập thơng tin nhớ máy tính 2. Quy trình thu thập phân tích thơng tin từ nhớ máy tính 1. Giới thiệu phân tích điều tra và thu thập thơng tin bộ nhớ máy tính Memory Forensics kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra Thu thập thơng tin nhớ máy tính: Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản 2. Quy trình thu thập phân tích thơng tin từ nhớ máy tính MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH Thu lại nhớ khả biến Xác định nơi tìm nhớ khả biến Kỹ thuật Liệt kê tiến trình thực thi Liệt kê kết nối mạng có hệ thống Phục hồi tập tin ánh xạ nhớ Phân tích ngược tập tin chứa mã độc Phân tích registry Thu lại nhớ khả biến Có phương pháp để thu lại nhớ khả biến: Thu dựa phần cứng: liên quan đến việc tạm ngưng trình xử lý máy tính thựcpháp hiệnđểtruy cập khả nhớbiến trực tiếp (DMA) để có Có phương thu lại nhớ nhớ Thu dựa phần mềm: kỹ thuật sử dụng phổ biến việc sử dụng công cụ đánh giá tin cậy phát triển cung cấp chuyên gia điều tra số 2 Xác định nơi tìm nhớ khả biến Trong Windows, có đối tượng thiết bị phổ biến truy cập để lấy nhớ khả biến là: \\.\PhysicalMemory \\.\ DebugMemory Có phương pháp để thu lại nhớ khả biến - Trong Unix, thiết bị nhớ vật lý thường /dev/mem/ /proc/kcore 3 Liệt kê tiến trình thực thi Kỹ thuật sử dụng nhằm: Xác định mối liên hệ tiến trình với Có phương pháp để thu lại nhớ khả biến xem có tiến trình lạ tồn hệ thống hay không Liệt kê kết nối mạng có hệ thống Việc liệt kê kết nối mục đích để xem Có phương pháp để thu lại nhớ khả biến có kết nối ngồi hệ thống kết nối thuộc tiến trình Kiểm tra kết nối mạng 5 Phục hồi tập tin ánh xạ nhớ Các tệp bị đóng thường cịn nhớ, q trình khơi phục tệp tương tự nhưpháp việc dựng lạikhả tệp đĩa Có phương đểxây thu lại nhớ biến cứng bị xóa Thơng thường, nhìn vào bảng phân trang cho phép tệp tạo lại chúng khơng cịn hoạt động nhớ 6 Phân tích ngược tập tin chứa mã độc Kĩ thuật thường áp dụng trích xuất tập tin nghi ngờ chứa mã độc để phân tích => mã nguồn mã độc Để phân tích mãCó độc ngườipháp phân tíchlạicần tạo rabiến môi trường ảo phương để thu nhớ khả để phân tích, đảm bảo mã độc khơng thể lây nhiễm ngồi 7 Phân tích registry Hầu hết kiểm tra phần mềm độc hại tồn hệ thống, thường kiểm tra registry Trong trường hợp phân tích điều tra nhớ khả biến với việc phân Có phương pháp để thu lại nhớ khả biến tích registry thực việc tạo dựng lại liệu registry Volatility Công cụ DFF - Digital Forensic Framework The Sleuth Kit Autospy SANS Investigate Forensic Toolkit (SIFT) Volatility Volatility framework với nhiều plugins dùng để phân tích tìm kiếm thơng tin từ chứng thu Các plugins mà volatility hỗ trợ Volatility Ngoài giao diện sử dụng dịng lệnh volatility cịn cộng đồng mã nguồn mở phát triển thêm giao diện web để giúp cho người phân tích có nhìn trực quan Giao diện VolUtility DFF - Digital Forensic Framework DFF phần mềm mã nguồn mở phục vụ cho việc điều chứng tội phạm công nghệ cao Một số tính mà DFF hỗ trợ: Phân tích xây dựng lại Windows registry Trích xuất nhiều liệu siêu liệu Phục hồi liệu ẩn liệu bị xóa Liệt kê tiến trình chạy Liệt kê kết nối mạng tồn hệ thống Sử dụng tính tìm kiếm dựa vào thời gian, nội dung DFF - Digital Forensic Framework Giao diện DFF