BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN 🙟🙟🙟 PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ …………………………………………………………………………………………… Giảng viên hướng dẫn: Thầy Nguyễn Mạnh Thắng MỤC LỤC DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU CHƯƠNG I: TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính 1.4 Vai trị ứng dụng thu thập phân tích nhớ máy tính 10 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính 11 1.5.1 Kiểm tra xác minh 11 1.5.2 Mô tả hệ thống 12 1.5.3 Thu thập chứng 12 1.5.4 Thiết lập mốc thời gian phân tích 13 1.5.5 Phân tích phương tiện truyền liệu 13 1.5.6 Khôi phục liệu 13 1.5.7 Tìm kiếm chuỗi 14 1.5.8 Lập báo cáo 14 CHƯƠNG II: MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 15 2.1 Các kỹ thuật sử dụng thu thập phân tích thơng tin từ nhớ máy tính 15 2.1.1 Thu lại nhớ khả biến 15 2.1.2 Xác định nơi tìm nhớ khả biến 16 2.1.3 Liệt kê tiến trình thực thi 16 2.1.4 Liệt kê kết nối mạng có hệ thống 17 2.1.5 Phục hồi tập tin ánh xạ nhớ 17 2.1.6 Phân tích ngược tập tin chứa mã độc 18 2.1.7 Phân tích registry 19 2.2 Một số cơng cụ 19 2.2.1 Volatility 19 2.2.2 DFF - Digital Forensic Framework 21 2.2.3 The Sleuth Kit Autopsy 22 2.2.4 SANS Investigate Forensic Toolkit (SIFT) 23 CHƯƠNG III: THỰC HIỆN TÌNH HUỐNG MINH HỌA 24 3.1 Xây dựng 24 3.2 Quy trình thực hiện: 25 3.3 Triển khai 26 3.4 Báo cáo kết đạt 38 CHƯƠNG IV: KẾT LUẬN 40 TÀI LIỆU THAM KHẢO 41 PHỤ LỤC: Danh sách phân chia cơng việc DANH MỤC HÌNH ẢNH Hình 1: Sơ đồ quy trình điều tra nhớ 11 Hình 1: Kiểm tra kết nối mạng Hình 2: Các plugins mà volatility hỗ trợ Hình 3: Giao diện VolUtility Hình 4: Cài đặt Volatility Hình 5: Thư mục Volatility sau giải nén Hình 6: File tải xuống sử dụng CMD Hình 7: Chạy volatility với file cần điều tra WINDOWS7.raw Hình 8: Cài đặt Volatility (2) Hình 9: Giải nén file unzip Hình 10: Chạy lệnh Kali Hình 11: Giao diện DFF Hình 12: Giao diện cơng cụ The Sleuth Kit Hình 13: Giao diện SANS SIFT 17 20 21 21 22 22 23 23 24 24 25 26 27 Hình 1: Mã độc Bonzify 28 Hình 2: Trạng thái CPU sau nhiễm mã độc 29 Hình 3: Sử dụng công cụ Dumpit để ghi lại nhớ 30 Hình 4: Sử dụng MD5 checker tạo mã MD5 30 Hình 5: File chứng đưa vào mơi trường để phân tích 31 Hình 6: Kiểm tra lại mã MD5 để đảm bảo tính tồn vẹn chứng 31 Hình 7: Sử dụng module imageinfo kiểm tra thông tin môi trường phân tích 32 Hình 8: Module pslist Volatility 33 Hình 9: Module pslist Volatility(2) 33 Hình 10: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn 33 Hình 11: Module psscan kiểm tra tất tiến bao gồm tiến trình trình bị ẩn(2) 34 Hình 12: Tiến trình cha/con với module pstree 34 Hình 13: Tiến trình cha/con với module pstree (2) 35 Hình 14: Cmd tiến trình 2896 35 Hình 15: Các thư viện dll mà tiến trình Bonzify.exe sử dụng 36 Hình 16: Trích xuất chương trình từ tiến trình 2896 36 Hình 17: File chương trình từ tiến trình vừa trích xuất 36 Hình 18: Kiểm tra file vừa trích xuất với Virustotal 37 Hình 19: Kết scan 37 Hình 20: Module netscan 38 Hình 21: Module netscan (2) 39 Hình 22: Phân tích Registry 40 Hình 23: Phân tích Registry sử dụng module hashdump 40 LỜI MỞ ĐẦU Trong thời đại công nghệ thông tin truyền thông phát triển nay, không cá nhân, tổ chức, doanh nghiệp tách rời máy tính mạng máy tính Chính vậy, hoạt động phạm tội đối tượng sử dụng công nghệ cao ngày phổ biến, thủ đoạn phạm tội chúng ngày tinh vi Trên lĩnh vực an ninh quốc gia, lực thù địch không ngừng tập trung lợi dụng công nghệ thông tin, mạng viễn thông để xuyên tạc, vu khống chống phá Nhà nước Trên lĩnh vực trật tự, an toàn xã hội, tình hình an ninh mạng Việt Nam diễn biến phức tạp, nhiều vụ công, phá hoại, lây nhiễm virus, phần mềm gián điệp, mã tin học độc hại nhằm vào hệ thống mạng quan nhà nước tư nhân với mức độ, tính chất ngày nghiêm trọng Vì vậy, nhóm em lựa chọn đề tài “Thu thập phân tích chứng từ nhớ” để tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng lấy từ nhớ máy tính triển khai hướng giải Mục đích chọn đề tài “Thu thập phân tích chứng từ nhớ” chúng em tìm hiểu kiến thức tổng quan việc thu thập phân tích chứng từ nhớ máy tính, giới thiệu cơng cụ phân tích thường sử dụng thực tình minh họa Hơn nữa, việc thực đề tài hỗ trợ nhóm chúng em việc định hướng việc làm giúp chúng em có thêm kiến thức tảng, bổ ích để phục vụ cho công việc sau CHƯƠNG I: TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, công gây gián đoạn trình làm việc hệ thống Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Một số loại hình điều tra số phổ biến: - Registry Forensics: Đây loại hình điều tra liên quan đến việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Registry - Disk Forensics: Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khôi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích - Mobile forensics: Là loại hình điều tra thực thiết bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập liệu, chứng kỹ thuật số - Application Forensics: Là loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng - Network Forensics: Là nhánh digital forensics liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, kiện liên quan, tìm kiếm chứng pháp lý, mục đích phát bất thường, dấu hiệu xâm nhập môi trường mạng - Memory Forensics: Là phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ 1.2 Giới thiệu phân tích điều tra nhớ máy tính Memory Forensics kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Kỹ thuật điều tra sử dụng trình phân tích tĩnh từ gói tin thu được, thông tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, cung cấp thông tin có chưa đầy đủ, chưa đủ sức thuyết phục Phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng điều tra hình Nhưng cụ thể kỹ thuật mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Tính hữu ích loại hình điều tra thực tế, thơng tin tìm thấy nhớ RAM, hiểu gần chạy hệ thống nạn nhân 1.3 Giới thiệu thu thập nhớ máy tính Sự thành cơng phân tích thường phụ thuộc vào khởi đầu giai đoạn thu thập điều tra Trong giai đoạn này, điều tra viên phải đưa định liệu cần thu thập phương pháp tốt để thu thập liệu Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp công cụ cụ thể sử dụng thường phụ thuộc vào mục tiêu điều tra đặc điểm hệ thống điều tra Một nhà điều tra kỹ thuật số tìm cách bảo vệ trạng thái mơi trường kỹ thuật số theo cách cho phép điều tra viên đạt suy luận xác thơng qua phân tích Dữ liệu lưu trữ đĩa RAM cung cấp hai thành phần quan trọng mơi trường đó.Quan điểm truyền thống điều tra số tập trung vào giả định độ tin cậy suy luận hoàn toàn phụ thuộc vào việc thu thập chứng mà không thay đổi trạng thái Ví dụ, thủ tục xử lý chứng thường chấp nhận liên quan đến việc tắt hệ thống tạo (ảnh) liệu thiết bị lưu trữ đĩa để phân tích ngoại tuyến Các quy trình thủ tục chuyển đổi tập trung vào việc giảm thiểu thay đổi file liệu hệ thống Khi lĩnh vực kỹ thuật điều tra số phát triển, trở nên rõ ràng với việc lưu trữ chọn lọc số chứng chi phí chứng quan trọng khác ảnh hưởng đến độ xác suy luận đưa Điều đặc biệt quan trọng tác nhân độc hại ln tìm cách khai thác hạn chế kỹ thuật thu thập chứng pháp y kỹ thuật số truyền thống Bằng cách so sánh liệu từ nhiều nguồn (đĩa, mạng, nhớ, v.v.) môi trường kỹ thuật số, người dùng hiểu rõ xảy hệ thống so với góc nhìn hạn chế tiếp nhận liệu từ nhớ đĩa Với nguồn thay này, phải chấp nhận tất phương pháp chuyển đổi, bao gồm thủ tục chuyển đổi đĩa truyền thống, dẫn đến số biến dạng môi trường kỹ thuật số Các nhà điều tra phải hiểu cách mà thay đổi tác động đến kết phân tích thứ tự mà cần phải thu thập liệu để giảm tác động Q trình thực thường ưu tiên dựa thứ tự thay đổi giảm dần (tức là, chứng cho thấy thay đổi nhanh thu thập trước chứng ổn định hơn) Và thực tế, điều có nghĩa chứng nhớ khả biến cần thu thập trước 1.4 Vai trò ứng dụng thu thập phân tích nhớ máy tính Khoa học điều tra số chứng minh vai trò quan trọng Memory Forensics, việc điều tra nhớ RAM nơi mà liệu ln sẵn sàng để ghi lại phân tích, cung cấp chứng có giá trị, vượt qua số hạn chế phương pháp điều tra truyền thống (phân tích đĩa vật lý), giải vấn đề mà công nghệ mã hóa gây khó khăn trình điều tra Những phương pháp phân tích truyền thống bị giới hạn số chỗ, ví dụ tiến hành phân tích thường gặp khó khăn khơng truy cập liệu mã hóa trừ bẻ khóa mật người dùng Mà khóa mật lưu trữ đĩa Tuy nhiên thiết nạp vào lưu trữ nhớ RAM, tiến hành phân tích nhớ cho phép sử dụng kỹ thuật công cụ để khơi phục mật khóa mật mã cách dễ dàng Một hạn chế khác phương pháp điều tra truyền thống người phân tích không đủ khả việc khám phá thơng tin tiến trình chạy nhớ, dễ bỏ qua việc điều tra ứng dụng, hệ thống sử dụng thời điểm công diễn ra, liệu che giấu nhớ Nhưng Memory Forensics, việc dễ dàng Ứng dụng Memory Forensics phân tích điều tra cơng máy tính sử dụng công nghệ cao, với kỹ thuật tinh vi, đủ để tránh việc để lại chứng ổ đĩa cứng máy tính Chính việc phân tích điều tra nhớ RAM cho nhìn sâu sắc nhất, xác diễn hệ thống thời điểm hệ thống bị cơng 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính Sơ đồ mơ tả quy trình điều tra nhớ máy tính: Hình 1: Sơ đồ quy trình điều tra nhớ 1.5.1 Kiểm tra xác minh Khi bắt đầu trình điều tra nhiệm vụ việc kiểm tra xác minh Việc kiểm tra xác minh cung cấp nhìn bao qt thơng tin 10 ... VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính 1.4 Vai trị ứng dụng thu thập phân tích. .. NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 2.1 Các kỹ thu? ??t sử dụng thu thập phân tích thơng tin từ nhớ máy tính 2.1.1 Thu lại nhớ khả biến Có phương pháp để thu lại nhớ khả biến là: Thu dựa phần cứng thu dựa... ninh mạng lấy từ nhớ máy tính triển khai hướng giải Mục đích chọn đề tài ? ?Thu thập phân tích chứng từ nhớ? ?? chúng em tìm hiểu kiến thức tổng quan việc thu thập phân tích chứng từ nhớ máy tính,