Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 60 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
60
Dung lượng
1,14 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần : An Tồn Mạng Chủ đề: Volatility – Memory Forensic Tool Lời mở đầu Volatility forensic framework sử dụng nhiều công cụ để phân tích hình ảnh nhớ Cơng cụ phát triển Python, hỗ trợ nhà điều tra tìm hiểu thêm nhớ tạm (RAM) hệ thống cách trích xuất tiến trình chạy, cấu hình máy tính, kết nối mạng mở, phần mềm độc hại có, v.v RAM lưu giữ dấu vết mã độc, liệu bị lấy từ hệ thống, tên người dùng mật khẩu, nội dung cửa sổ mở, registry phần liệu khác sử dụng điều tra Vì RAM nhớ tạm thời nên liệu biến hệ thống bị tắt nguồn Để lưu nội dung RAM, số cơng cụ định sử dụng để thu thập nhớ từ đó, tính Volatility sử dụng để phân tích thu được, cung cấp cho điều tra viên tất loại chứng Các tiến trình chạy, mật khẩu, kết nối mạng nhiều danh sách hiển thị để giúp người kiểm tra phân tích xảy hệ thống Bằng chứng cung cấp Volatility tạo tất khác biệt sử dụng hết khả nó, cung cấp đầy đủ thơng tin cách hệ thống bị xâm phạm thời gian mà nhớ trích xuất Mục lục Mục lục I Giới thiệu Tổng quan Lịch sử hình thành Thuật ngữ II Hướng dẫn cài đặt Tải xuống Volatility Cài đặt Volatility 2.1 Các thư viện phụ thuộc Cập nhật Volatility 11 III Các lệnh 12 Các tùy chọn chung 13 1.1 Hiển thị Trợ giúp 13 1.2 Chọn Cấu hình 14 1.3 Các tùy chọn khác 16 1.4 Bật thông báo gỡ lỗi 18 1.5 Sử dụng nhớ đệm 18 1.6 Đặt múi 18 1.7 Đặt DTB 20 1.8 Đặt địa KDBG 20 1.9 Đặt địa KPCR 21 1.10 Bật hỗ trợ ghi 21 1.11 Chỉ định Thư mục Plugin Bổ sung 22 1.12 Chọn định dạng Đầu 22 Các tùy chọn cụ thể plugin 23 Sử dụng Volatility làm Thư viện 23 IV Các plugin thường sử dụng 24 3 Vùng nhớ 24 1.1 Imageinfo 24 1.2 Crashinfo 24 1.3 Hibinfo 25 1.4 Imagecopy 25 Các tiến trình DLLs 26 2.1 Pslist 26 2.2 Pstree 26 2.3 Psscan 27 2.4 Dllist 27 2.5 Dlldump 28 2.6 Handles 28 2.7 Cmdscan 29 Các đối tượng nhớ kernel 30 3.1 Procmemdump 30 3.2 Procexedump 30 3.3 Modscan 30 3.4 Driverscan 31 3.5 Filescan 31 Mạng 32 4.1 Connections 32 4.2 Connscan 32 4.3 Sockscan 33 4.4 Netscan 34 Registry 34 5.1 Hivescan and Hivelist 34 5.2 Hivedump 35 5.3 Hashdump 35 Phân tích mã độc 36 6.1 Malfind 36 6.2 Svcscan 36 6.3 Apihooks 37 6.4 Callbacks 37 6.5 Devicetree 38 6.6 Psxview 39 V Các plugin khác 39 Iehistory 39 Evtlogs 40 Deskscan 40 VI Kịch 40 Kịch : Memory Analysis - Ransomware 40 Kịch : Memory Analysis – Stuxnet sử dụng Process Injection 48 VII Tổng kết 59 VIII Tài liệu tham khảo 60 I Giới thiệu Tổng quan Volatility cơng cụ mã nguồn mở dùng để phân tích nhớ thời gian chạy máy tính để phục vụ công việc xử lý cố phân tích phần mềm độc hại Volatility viết Python hỗ trợ hỗ trợ Microsoft Windows, Mac OS X Linux (kể từ phiên 2.5) Volatility tạo Aaron Walters, dựa nghiên cứu học thuật mà ông thực pháp y nhớ Vào năm 2007, phiên Volatility Framework phát hành công khai Black Hat DC Phần mềm dựa nhiều năm nghiên cứu học thuật công bố kỹ thuật phân tích pháp y nhớ tiên tiến Cho đến thời điểm đó, điều tra kỹ thuật số tập trung chủ yếu vào việc tìm kiếm tệp tin khả nghi tồn ổ cứng Volatility giới thiệu cho người sức mạnh việc phân tích trạng thái thời gian chạy hệ thống cách sử dụng liệu tìm thấy nhớ tạm (RAM) máy tính Nó cung cấp tảng đa tảng, mô-đun mở rộng để khuyến khích nghiên cứu sâu vào lĩnh vực nghiên cứu thú vị Một mục tiêu khác dự án khuyến khích hợp tác, đổi khả tiếp cận với kiến thức phổ biến cộng đồng phần mềm cơng Kể từ thời điểm đó, phân tích nhớ trở thành chủ đề quan trọng tương lai điều tra kỹ thuật số volatility trở thành tảng pháp y nhớ sử dụng rộng rãi giới Dự án hỗ trợ cộng đồng lớn tích cực ngành pháp y Volatility cung cấp tảng độc đáo cho phép chuyển nghiên cứu tiên tiến vào tay nhà điều tra kỹ thuật số Kết là, nghiên cứu xây dựng dựa volatility xuất hội nghị học thuật hàng đầu volatility sử dụng số điều tra quan trọng thập kỷ qua Nó trở thành cơng cụ điều tra kỹ thuật số thiếu nhà thực thi pháp luật, quân đội, học viện nhà điều tra thương mại toàn giới tin cậy Sự phát triển volatility hỗ trợ “The Volatility Foundation”, tổ chức phi lợi nhuận độc lập Quỹ thành lập để thúc đẩy việc sử dụng Volatility phân tích nhớ cộng đồng pháp y, để bảo vệ tài sản trí tuệ dự án (nhãn hiệu, giấy phép, v.v.) tuổi thọ, cuối cùng, để giúp thúc đẩy nghiên cứu phân tích trí nhớ sáng tạo Cùng với đó, tảng thành lập để giúp bảo vệ quyền nhà phát triển, người hy sinh thời gian tài nguyên họ để làm cho tảng pháp y nhớ tiên tiến giới trở nên miễn phí có nguồn mở Lịch sử hình thành Gần đây, ngày có nhiều ý dành cho nghiên cứu tiến lĩnh vực phân tích pháp y nhớ tạm Mặc dù ý ngày tăng, nhà điều tra cảm thấy họ có thời gian, nguồn lực chun mơn để đưa phân tích nhớ tạm vào trình điều tra kỹ thuật số họ Một số nhà điều tra, nhiều người số họ phải đối mặt với vụ án tồn đọng, coi nhớ hệ thống dễ bay “chất” khác cần phân tích Do đó, nhớ tạm thường không thu thập trình xử lý cố trường hợp thu thập, phân tích thường tập trung vào việc tìm kiếm chuỗi khơng có ngữ cảnh Mục đích cơng việc nhấn mạnh thông điệp pháp y nhớ tạm không nên coi “nhiệm vụ bổ sung” cho người điều tra kỹ thuật số tải, mà phần khơng thể thiếu q trình điều tra kỹ thuật số Chúng chứng minh cách loại phân tích q trình chuyển đổi dễ dàng cho người tận dụng bối cảnh cung cấp từ kỹ thuật xử lý hệ thống trực tiếp Có số nguyên tắc pháp y quan trọng cần xem xét trích xuất liệu từ hệ thống trực tiếp Những xem xét tập trung vào việc cố gắng giảm thiểu thay đổi hệ thống, hiểu tác động thay đổi giảm thiểu tin cậy đặt vào hệ thống Thật khơng may, có công việc thực để đánh giá xem phương pháp thu thập liệu trực tiếp có tuân thủ nguyên tắc tốt Vì vậy, cơng cụ thiết kế để giúp nhà điều tra kỹ thuật số nhóm xử lý cố nhanh chóng xác định bối cảnh hệ thống thời gian chạy đầu mối điều tra hữu ích giai đoạn phân tích sau Cuối cùng, kỹ thuật pháp y nhớ tạm công vụ Volatility chứng minh đưa vào trình điều tra kỹ thuật số giúp giải số thách thức hàng đầu mà pháp y kỹ thuật số phải đối mặt Các công cụ kỹ thuật phân tích nhớ sử dụng để bổ sung cho công cụ thực hành sử dụng điều tra kỹ thuật số Ví dụ: nhà điều tra tận dụng bối cảnh tìm thấy nhớ tạm để tập trung điều tra với khối lượng lớn chứng phân tích thơng tin nhớ tạm trước tiêu tan Thuật ngữ Dưới số từ khóa quan trọng: - Volatile: Dữ liệu khơng cố định; bị nguồn điện bị ngắt khỏi hệ thống - Plugin: Phần mềm làm cho phần mềm lớn có khả hoạt động tốt - Framework: Một cấu trúc công cụ pháp y hỗ trợ điều tra - Forensic: pháp y, điều tra hành vi mã độc thực hệ thống II Hướng dẫn cài đặt Tải xuống Volatility Bạn lấy mã nguồn cách tải xuống phát hành ổn định chép từ github Để thực thao tác sau, nhập: $ git clone https://github.com/volatilityfoundation/volatility.git Thao tác tạo thư mục Volatility có chứa mã nguồn bạn chạy thư mục Volatility từ Cài đặt Volatility Nếu bạn sử dụng tệp thực thi Windows, Linux Mac độc lập, khơng cần cài đặt - cần chạy từ dấu nhắc lệnh Khơng cần cài thêm gói phụ thuộc, chúng đóng gói bên exe Nếu bạn sử dụng tệp thực thi Pyinstaller (chỉ dành cho Windows), nhấp đúp làm theo hướng dẫn cài đặt (về bao gồm nhấp vào “Continues” vài lần sau “Finish”) Bạn phải có Python 2.7 hoạt động Cũng xem bên để biết thư viện phụ thuộc Nếu bạn tải xuống kho lưu trữ mã nguồn zip tar (Windows, Linux, OSX), có hai cách để "cài đặt" mã: Cách 1: Giải nén kho lưu trữ chạy setup.py Thao tác thực việc chép tệp vào vị trí đĩa bạn Việc chạy setup.py cần thiết bạn muốn có quyền truy cập vào không gian tên Volatility từ tập lệnh Python khác, ví dụ: bạn định nhập Volatility làm thư viện Ưu điểm: dễ dàng sử dụng thư viện Nhược điểm: khó nâng cấp gỡ cài đặt Cách 2: Giải nén kho lưu trữ vào thư mục mà bạn chọn Khi bạn muốn sử dụng Volatility, cần thực python /path/to/directory/vol.py Đây phương pháp gọn gàng khơng có tệp di chuyển ngồi thư mục bạn chọn, điều giúp bạn dễ dàng nâng cấp lên phiên chúng phát hành Ngồi ra, bạn dễ dàng cài đặt đồng thời nhiều phiên Volatility cách giữ chúng thư mục riêng biệt (như /home/me/vol2.0 /home/me/vol2.1) Ưu điểm: sạch, dễ chạy nhiều phiên bản, dễ nâng cấp gỡ cài đặt Nhược điểm: khó sử dụng thư viện 2.1 Các thư viện phụ thuộc Phần không áp dụng cho tệp thực thi Windows độc lập, thư viện phụ thuộc bao gồm exe Cũng xin lưu ý phần lớn chức cốt lõi Volatility hoạt động mà khơng có phụ thuộc bổ sung Bạn cần cài đặt gói bạn định sử dụng plugin cụ thể tận dụng gói (xem phần thư viện đề xuất) bạn muốn nâng cao trải nghiệm (xem phần thư viện tùy chọn) Lưu ý: Linux, bạn phải cài đặt vài gói / thư viện khác làm điều kiện tiên cho gói đề xuất sau (Ví dụ: apt-get install pcregrep libpcre ++ - dev python-dev -y) 2.1.1 Các thư viện đề xuất Để hỗ trợ plugin toàn diện nhất, bạn nên cài đặt thư viện sau Nếu bạn không cài đặt thư viện này, bạn thấy thơng báo cảnh báo để nâng cao nhận thức mình, tất plugin không dựa vào thư viện bị thiếu hoạt động bình thường - Distorm3 : Thư viện Dissassembler mạnh mẽ dành cho x86/AMD64 Các plugin phụ thuộc: o Apihooks o Callbacks o Impscan o Kdbgscan, pslist, modules v.v cho máy chạy Windows 8/2012 o Các lệnh dissassemble volshell, linux_volshell mac_volshell - Yara : Một công cụ phân loại nhận dạng phần mềm độc hại Các plugin phụ thuộc: o yarascan, linux_yarascan, mac_yarascan Lưu ý: lấy yara từ trang web dự án, không cài đặt pip Lưu ý: bạn sử dụng Linux, bạn phải sử dụng lệnh sau: echo "/usr/local/lib" >> /etc/ld.so.conf && ldconfig - PyCrypto : Bộ công cụ mật mã Python Các plugin phụ thuộc: o Lsadump o Hashdump Lưu ý: điều yêu cầu python-dev để cài đặt (trừ bạn nhận tệp nhị phân tạo sẵn) 10 đọc/ghi liệu đến file khác có tên 00000000.eky Đối với phần mở rộng tệp eky, tìm kiếm google Chúng ta biết WannaCry, tìm kiếm thứ đơn giản “wannacry public key file extension” Liên kết tơi báo FireEye: https://www.fireeye.com/blog/threatresearch/2017/05/wannacry-malware-profile.html Có nhiều thông tin thú vị, số : Điều trơng quen thuộc Chúng ta không cần thực filescan grep cho tệp chúng tơi tìm thấy tệp thông qua handles.Nhưng filescan | grep -F "hacker\Desktop (-F có nghĩa grep seaches cho chuỗi cố định, không sử dụng regex), nhận nhiều: 46 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6_win64_ standalone.exe -f /infected.vmem profile=Win7SP1x86 filescan | grep -F "hacker\Desktop Volatility Foundation Volatility Framework 2.6 0x000000000bf1df80 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\zlib1.dll 0x000000000cf8c4c8 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\tor.exe 0x000000001dc53528 1 R rw\Device\HarddiskVolume1\Users\hacker\Desktop\taskse.exe 0x000000001dd3cd48 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libssp-0.dll 0x000000001df8c850 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\ssleay32.dll 0x000000001df8f6f8 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe 0x000000001df90458 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libssp-0.dll 0x000000001dfaf520 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\b.wnry 0x000000001e96a518 R rw\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe.lnk 0x000000001e9c00f8 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\taskdl.exe 0x000000001e9c0318 RWD \Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.bmp 0x000000001ec063e0 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libeay32.dll 0x000000001ec081d8 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_extra-2-0-5.dll 0x000000001ec5ba80 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_extra-2-0-5.dll 0x000000001ec5bb38 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libgcc_s_sjlj-1.dll 0x000000001ec5d0f0 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent-2-0-5.dll 0x000000001ecae5a0 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\taskse.exe 0x000000001ed75ae8 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe 0x000000001ed76a28 1 R rw\Device\HarddiskVolume1\Users\hacker\Desktop\taskdl.exe 0x000000001eedf690 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\ssleay32.dll 0x000000001eef1718 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe 0x000000001ef5cc58 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_core-2-0-5.dll 0x000000001ef5ce38 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\taskhsvc.exe 0x000000001ef64a70 1 R rw\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent-2-0-5.dll 0x000000001efdd158 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\taskhsvc.exe 0x000000001efeb5b8 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_core-2-0-5.dll 0x000000001f4546d8 -W-r-\Device\HarddiskVolume1\Users\hacker\Desktop\00000000.res 0x000000001fca6268 11 -W-r-\Device\HarddiskVolume1\Users\hacker\Desktop\00000000.eky 0x000000001fcab038 R r-\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\tor.exe 0x000000001fcaf798 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe 0x000000001fcb38c8 R rwd \Device\HarddiskVolume1\Users\hacker\Desktop 47 0x000000001fcb5568 R r-d \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libgcc_s_sjlj-1.dll Tại đây, thấy tất tệp thực thi độc hại, khóa số tệp khác 00000000.res b.wnry Phần mở rộng wnry phần mở rộng WannaCry sử dụng cho tệp mã hóa Các res có lẽ liên quan đến khóa Kịch : Memory Analysis – Stuxnet sử dụng Process Injection Kịch : Máy tính người dùng bị báo nhiễm mã độc Tuy nhiên sau hồi kiểm tra tiến trình chạy thời gian thực khơng nhận thấy tiến trình đáng ngờ Lúc bạn trích xuất nhớ máy tiến hành trình điều tra Giải vấn đề: Tương tự lab trước, bước sử dụng plugin imageinfo : C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility _2.6_win64_standalone.exe -f /stuxnet.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86) AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : FileAddressSpace (C:\Users\tranh\Desktop\Volatility\stuxnet.vmem) PAE type : PAE DTB : 0x319000L KDBG : 0x80545ae0L Number of Processors : Image Type (Service Pack) : KPCR for CPU : 0xffdff000L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2011-06-03 04:31:36 UTC+0000 Image local date and time : 2011-06-03 00:31:36 -0400 Ở sử dụng WinXPSP2x86 để làm cấu hình cho lệnh Lấy danh sách tiến trình chạy ghi nhớ plugin pslist: 48 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6_win 64_standalone.exe -f /stuxnet.vmem profile=WinXPSP2x86 pslist Volatility Foundation Volatility Framework 2.6 Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit - -0x823c8830 System 59 403 -0 0x820df020 smss.exe 376 19 -0 2010-1029 17:08:53 UTC+0000 0x821a2da0 csrss.exe 600 376 11 395 0 2010-1029 17:08:54 UTC+0000 0x81da5650 winlogon.exe 624 376 19 570 0 2010-1029 17:08:54 UTC+0000 0x82073020 services.exe 668 624 21 431 0 2010-1029 17:08:54 UTC+0000 0x81e70020 lsass.exe 680 624 19 342 0 2010-1029 17:08:54 UTC+0000 0x823315d8 vmacthlp.exe 844 668 25 0 2010-1029 17:08:55 UTC+0000 0x81db8da0 svchost.exe 856 668 17 193 0 2010-1029 17:08:55 UTC+0000 0x81e61da0 svchost.exe 940 668 13 312 0 2010-1029 17:08:55 UTC+0000 0x822843e8 svchost.exe 1032 668 61 1169 0 2010-1029 17:08:55 UTC+0000 0x81e18b28 svchost.exe 1080 668 80 0 2010-1029 17:08:55 UTC+0000 0x81ff7020 svchost.exe 1200 668 14 197 0 2010-1029 17:08:55 UTC+0000 0x81fee8b0 spoolsv.exe 1412 668 10 118 0 2010-1029 17:08:56 UTC+0000 0x81e0eda0 jqs.exe 1580 668 148 0 2010-1029 17:09:05 UTC+0000 0x81fe52d0 vmtoolsd.exe 1664 668 284 0 2010-1029 17:09:05 UTC+0000 0x8205ada0 alg.exe 188 668 107 0 2010-1029 17:09:09 UTC+0000 0x820ec7e8 explorer.exe 1196 1728 16 582 0 2010-1029 17:11:49 UTC+0000 0x820ecc10 wscntfy.exe 2040 1032 28 0 2010-1029 17:11:49 UTC+0000 0x81e86978 TSVNCache.exe 324 1196 54 0 2010-1029 17:11:49 UTC+0000 0x8210d478 jusched.exe 1712 1196 26 0 2010-1029 17:11:50 UTC+0000 0x82279998 imapi.exe 756 668 116 0 2010-1029 17:11:54 UTC+0000 0x822b9a10 wuauclt.exe 976 1032 133 0 2010-1029 17:12:03 UTC+0000 0x81c543a0 Procmon.exe 660 1196 13 189 0 2011-0603 04:25:56 UTC+0000 0x81fa5390 wmiprvse.exe 1872 856 134 0 2011-0603 04:25:58 UTC+0000 0x81c498c8 lsass.exe 868 668 23 0 2011-0603 04:26:55 UTC+0000 0x81c47c00 lsass.exe 1928 668 65 0 2011-0603 04:26:55 UTC+0000 0x81c0cda0 cmd.exe 968 1664 -0 2011-0603 04:31:35 UTC+0000 2011-06-03 04:31:36 UTC+0000 0x81f14938 ipconfig.exe 304 968 -0 2011-0603 04:31:35 UTC+0000 2011-06-03 04:31:36 UTC+0000 49 Như thấy, kết trả có tới tận tiến trình có tên lsass.exe Lsass.exe (Local Security Authority Process) file an toàn Microsoft sử dụng hệ điều hành Windows Nó đóng vai trị quan trọng hoạt động bình thường máy tính Windows khơng nên bị xóa, di chuyển chỉnh sửa theo cách File lsass.exe đặt thư mục \Windows\System32\ sử dụng để thực thi sách bảo mật, có nghĩa có liên quan đến thứ thay đổi mật xác minh đăng nhập Vì lsass bị giả mạo có tới tiến trình khởi chạy lúc máy bạn Kiểm tra list DLL tiến trình thấy có khác biệt rõ ràng DLL mà chúng sử dụng C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ 2.6_win64_standalone.exe -f /stuxnet.vmem profile=WinXPSP2x86 dlllist -p 680,1928,868 Volatility Foundation Volatility Framework 2.6 ************************************************************************ lsass.exe pid: 680 Command line : C:\WINDOWS\system32\lsass.exe Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x75730000 0xb5000 0xffff C:\WINDOWS\system32\LSASRV.dll 0x71b20000 0x12000 0xffff C:\WINDOWS\system32\MPR.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll 0x77b20000 0x12000 0xffff C:\WINDOWS\system32\MSASN1.dll 0x77c10000 0x58000 0xffff C:\WINDOWS\system32\msvcrt.dll 0x5b860000 0x55000 0xffff C:\WINDOWS\system32\NETAPI32.dll 0x767a0000 0x13000 0xffff C:\WINDOWS\system32\NTDSAPI.dll 0x76f20000 0x27000 0xffff C:\WINDOWS\system32\DNSAPI.dll 0x71ab0000 0x17000 0xffff C:\WINDOWS\system32\WS2_32.dll 0x71aa0000 0x8000 0xffff C:\WINDOWS\system32\WS2HELP.dll 0x76f60000 0x2c000 0xffff C:\WINDOWS\system32\WLDAP32.dll 0x71bf0000 0x13000 0xffff C:\WINDOWS\system32\SAMLIB.dll 0x74440000 0x6a000 0xffff C:\WINDOWS\system32\SAMSRV.dll 0x76790000 0xc000 0xffff C:\WINDOWS\system32\cryptdll.dll 0x5cb70000 0x26000 0x1 C:\WINDOWS\system32\ShimEng.dll 0x6f880000 0x1ca000 0x1 C:\WINDOWS\AppPatch\AcGenral.DLL 0x76b40000 0x2d000 0x2 C:\WINDOWS\system32\WINMM.dll 0x774e0000 0x13d000 0x4 C:\WINDOWS\system32\ole32.dll 50 0x77120000 0x8b000 0x2 C:\WINDOWS\system32\OLEAUT32.dll 0x77be0000 0x15000 0x1 C:\WINDOWS\system32\MSACM32.dll 0x77c00000 0x8000 0x1 C:\WINDOWS\system32\VERSION.dll 0x7c9c0000 0x817000 0x2 C:\WINDOWS\system32\SHELL32.dll 0x77f60000 0x76000 0x4 C:\WINDOWS\system32\SHLWAPI.dll 0x769c0000 0xb4000 0xf C:\WINDOWS\system32\USERENV.dll 0x5ad70000 0x38000 0x3 C:\WINDOWS\system32\UxTheme.dll 0x773d0000 0x103000 0x1 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll 0x4d200000 0xe000 0x1 C:\WINDOWS\system32\msprivs.dll 0x71cf0000 0x4c000 0x2 C:\WINDOWS\system32\kerberos.dll 0x77c70000 0x24000 0x5 C:\WINDOWS\system32\msv1_0.dll 0x76d60000 0x19000 0x8 C:\WINDOWS\system32\iphlpapi.dll 0x744b0000 0x65000 0x2 C:\WINDOWS\system32\netlogon.dll 0x767c0000 0x2c000 0x2 C:\WINDOWS\system32\w32time.dll 0x76080000 0x65000 0x2 C:\WINDOWS\system32\MSVCP60.dll 0x767f0000 0x27000 0x7 C:\WINDOWS\system32\schannel.dll 0x77a80000 0x95000 0x9 C:\WINDOWS\system32\CRYPT32.dll 0x74380000 0xf000 0x1 C:\WINDOWS\system32\wdigest.dll 0x68000000 0x36000 0x1 C:\WINDOWS\system32\rsaenh.dll 0x74410000 0x2f000 0x1 C:\WINDOWS\system32\scecli.dll 0x77920000 0xf3000 0x1 C:\WINDOWS\system32\SETUPAPI.dll 0x743e0000 0x2f000 0x1 C:\WINDOWS\system32\ipsecsvc.dll 0x776c0000 0x12000 0x1 C:\WINDOWS\system32\AUTHZ.dll 0x75d90000 0xd0000 0x1 C:\WINDOWS\system32\oakley.DLL 0x74370000 0xb000 0x1 C:\WINDOWS\system32\WINIPSEC.DLL 0x71a50000 0x3f000 0x2 C:\WINDOWS\system32\mswsock.dll 0x662b0000 0x58000 0x1 C:\WINDOWS\system32\hnetcfg.dll 0x71a90000 0x8000 0x1 C:\WINDOWS\System32\wshtcpip.dll 0x743a0000 0xb000 0x1 C:\WINDOWS\system32\pstorsvc.dll 0x743c0000 0x1b000 0x1 C:\WINDOWS\system32\psbase.dll 0x68100000 0x26000 0x1 C:\WINDOWS\system32\dssenh.dll ************************************************************************ lsass.exe pid: 868 Command line : "C:\WINDOWS\\system32\\lsass.exe" Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll ************************************************************************ lsass.exe pid: 1928 Command line : "C:\WINDOWS\\system32\\lsass.exe" Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 51 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll 0x00870000 0x138000 0x1 C:\WINDOWS\system32\KERNEL32.DLL.ASLR.0360b7ab 0x76f20000 0x27000 0x2 C:\WINDOWS\system32\DNSAPI.dll 0x77c10000 0x58000 0x27 C:\WINDOWS\system32\msvcrt.dll 0x71ab0000 0x17000 0xa C:\WINDOWS\system32\WS2_32.dll 0x71aa0000 0x8000 0x8 C:\WINDOWS\system32\WS2HELP.dll 0x76d60000 0x19000 0x2 C:\WINDOWS\system32\IPHLPAPI.DLL 0x5b860000 0x55000 0x2 C:\WINDOWS\system32\NETAPI32.dll 0x774e0000 0x13d000 0x5 C:\WINDOWS\system32\ole32.dll 0x77120000 0x8b000 0x4 C:\WINDOWS\system32\OLEAUT32.dll 0x76bf0000 0xb000 0x2 C:\WINDOWS\system32\PSAPI.DLL 0x7c9c0000 0x817000 0x2 C:\WINDOWS\system32\SHELL32.dll 0x77f60000 0x76000 0x8 C:\WINDOWS\system32\SHLWAPI.dll 0x769c0000 0xb4000 0x2 C:\WINDOWS\system32\USERENV.dll 0x77c00000 0x8000 0x2 C:\WINDOWS\system32\VERSION.dll 0x771b0000 0xaa000 0x2 C:\WINDOWS\system32\WININET.dll 0x77a80000 0x95000 0x2 C:\WINDOWS\system32\CRYPT32.dll 0x77b20000 0x12000 0x2 C:\WINDOWS\system32\MSASN1.dll 0x71ad0000 0x9000 0x2 C:\WINDOWS\system32\WSOCK32.dll 0x773d0000 0x103000 0x2 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll Sử dụng malfind để kiểm tra xem liệu có thêm shellcode hay dll khác tiêm vào tiến trình hay khơng C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ 2.6_win64_standalone.exe -f /stuxnet.vmem profile=WinXPSP2x86 malfind -p 680,1928,868 Volatility Foundation Volatility Framework 2.6 Process: lsass.exe Pid: 868 Address: 0x80000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00080000 4d 5a MZ 0x00080010 b8 00 @ 0x00080020 00 00 0x00080030 00 00 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00 52 0x00080000 0x00080001 0x00080002 0x00080003 0x00080005 0x00080007 0x0008000a 0x0008000c 0x0008000d 0x0008000f 0x00080015 0x00080017 0x0008001a 0x0008001c 0x0008001e 0x00080020 0x00080022 0x00080024 0x00080026 0x00080028 0x0008002a 0x0008002c 0x0008002e 0x00080030 0x00080032 0x00080034 0x00080036 0x00080038 0x0008003a 0x0008003c 0x0008003e 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0801 0000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Process: lsass.exe Pid: 868 Address: 0x1000000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 2, Protection: 0x01000000 4d 5a MZ 0x01000010 b8 00 @ 0x01000020 00 00 0x01000030 00 00 0x01000000 0x01000001 0x01000002 0x01000003 0x01000005 0x01000007 0x0100000a 0x0100000c 0x0100000d 0x0100000f 0x01000015 0x01000017 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL 53 0x0100001a 0x0100001c 0x0100001e 0x01000020 0x01000022 0x01000024 0x01000026 0x01000028 0x0100002a 0x0100002c 0x0100002e 0x01000030 0x01000032 0x01000034 0x01000036 0x01000038 0x0100003a 0x0100003c 0x0100003e 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 d000 0000 ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ADD ROL ADD [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL [EAX], AL BYTE [EAX], 0x1 [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x80000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00080000 4d 5a MZ 0x00080010 b8 00 @ 0x00080020 00 00 0x00080030 00 00 0x00080000 0x00080001 0x00080002 0x00080003 0x00080005 0x00080007 0x0008000a 0x0008000c 0x0008000d 0x0008000f 0x00080015 0x00080017 0x0008001a 0x0008001c 0x0008001e 0x00080020 0x00080022 0x00080024 0x00080026 0x00080028 0x0008002a 0x0008002c 0x0008002e 0x00080030 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL 54 0x00080032 0x00080034 0x00080036 0x00080038 0x0008003a 0x0008003c 0x0008003e 0000 0000 0000 0000 0000 0801 0000 ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x1000000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 2, Protection: 0x01000000 4d 5a MZ 0x01000010 b8 00 @ 0x01000020 00 00 0x01000030 00 00 0x01000000 0x01000001 0x01000002 0x01000003 0x01000005 0x01000007 0x0100000a 0x0100000c 0x0100000d 0x0100000f 0x01000015 0x01000017 0x0100001a 0x0100001c 0x0100001e 0x01000020 0x01000022 0x01000024 0x01000026 0x01000028 0x0100002a 0x0100002c 0x0100002e 0x01000030 0x01000032 0x01000034 0x01000036 0x01000038 0x0100003a 0x0100003c 0x0100003e 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 d000 0000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ROL BYTE [EAX], 0x1 ADD [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x6f0000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 55 0x006f0000 29 87 ) w5 0x006f0010 4b 00 K.E.R.N.E.L.3.2 0x006f0020 2e 00 D.L.L A.S.L 0x006f0030 52 00 R 0.3.6.0.b.7 0x006f0000 0x006f0006 0x006f0008 0x006f0009 0x006f000a 0x006f000b 0x006f000e 0x006f0010 0x006f0011 0x006f0014 0x006f0015 0x006f0018 0x006f0019 0x006f001d 0x006f001f 0x006f0021 0x006f0025 0x006f0029 0x006f002c 0x006f002d 0x006f0031 0x006f0033 0x006f0035 0x006f0037 0x006f0039 0x006f003b 0x006f003e 0x006f003f 7f ae 00 00 00 00 ff ff ff ff 77 35 00 01 45 00 52 00 4e 00 45 00 4c 00 33 00 32 00 44 00 4c 00 4c 00 2e 00 41 00 53 00 4c 00 2e 00 30 00 33 00 36 00 30 00 62 00 37 00 29877fae0000 0000 ff ff ff ff7735 0001 4b 004500 52 004e00 45 004c0033 0032 002e 0044004c 004c002e 004100 53 004c0052 002e 0030 0033 0036 0030 006200 37 00 SUB [EDI+0xae7f], EAX ADD [EAX], AL DB 0xff DB 0xff DB 0xff PUSH DWORD [EDI+0x35] ADD [ECX], AL DEC EBX ADD [EBP+0x0], AL PUSH EDX ADD [ESI+0x0], CL INC EBP ADD [EAX+EAX+0x33], CL ADD [EDX], DH ADD [ESI], CH ADD [EAX+EAX+0x4c], AL ADD [EAX+EAX+0x2e], CL ADD [ECX+0x0], AL PUSH EBX ADD [EAX+EAX+0x52], CL ADD [ESI], CH ADD [EAX], DH ADD [EBX], DH ADD [ESI], DH ADD [EAX], DH ADD [EDX+0x0], AH AAA DB 0x0 Process: lsass.exe Pid: 1928 Address: 0x680000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00680000 90 06 h h.$.h 0x00680010 f2 04 h.H h.) 0x00680020 00 00 o ZwMapVi 0x00680030 65 77 ewOfSection.ZQ 0x00680000 0x00680001 0x00680002 0x00680007 0x0068000a 0x0068000f 68 00 c6 07 68 00 24 00 68 00 a5 04 00 00 68 00 48 06 00 00 c9 04 68 00 29 00 00 00 6f 00 e8 13 00 00 00 5a 77 4d 61 70 56 69 4f 66 53 65 63 74 69 6f 6e 00 5a 51 81 c1 90 06 6800c60768 002400 6800a50400 00f2 NOP PUSH ES PUSH DWORD 0x6807c600 ADD [EAX+EAX], AH PUSH DWORD 0x4a500 ADD DL, DH 56 0x00680011 0x00680013 0x00680016 0x00680018 0x00680019 0x0068001b 0x0068001d 0x0068001f 0x00680021 0x00680024 0x00680029 0x0068002a 0x0068002c 0x0068002d 0x0068002f 0x00680036 0x0068003a 0x0068003b 0x0068003e 0x0068003f 0468 004806 0000 c9 0468 0029 0000 0000 006f00 e813000000 5a 774d 61 7056 6965774f665365 6374696f 6e 005a51 81 c1 ADD AL, 0x68 ADD [EAX+0x6], CL ADD [EAX], AL LEAVE ADD AL, 0x68 ADD [ECX], CH ADD [EAX], AL ADD [EAX], AL ADD [EDI+0x0], CH CALL 0x68003c POP EDX JA 0x680079 POPA JO 0x680085 IMUL ESP, [EBP+0x77], 0x6553664f ARPL [ECX+EBP*2+0x6f], SI OUTS DX, BYTE [ESI] ADD [EDX+0x51], BL DB 0x81 DB 0xc1 Process: lsass.exe Pid: 1928 Address: 0x870000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00870000 4d 5a MZ 0x00870010 b8 00 @ 0x00870020 00 00 0x00870030 00 00 0x00870000 0x00870001 0x00870002 0x00870003 0x00870005 0x00870007 0x0087000a 0x0087000c 0x0087000d 0x0087000f 0x00870015 0x00870017 0x0087001a 0x0087001c 0x0087001e 0x00870020 0x00870022 0x00870024 0x00870026 0x00870028 0x0087002a 0x0087002c 0x0087002e 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL 57 0x00870030 0x00870032 0x00870034 0x00870036 0x00870038 0x0087003a 0x0087003c 0x0087003e 0000 0000 0000 0000 0000 0000 0801 0000 ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Kết trả cho thấy tiến trình 868 1928 có đoạn mã tiêm vào, bao gồm đoạn mã có chứa PE header Từ suy tiến trình tiến trình độc hại Chúng ta trích xuất đoạn mã để tiến hành điều tra sâu thêm cách thêm tùy chọn -D Thu file sau: Kiểm tra VirusTotal thu kết shellcode Worm Stuxnet 58 VII Tổng kết Phân tích trực tiếp nhớ giúp giải số thách thức phản ứng trực tiếp máy bị xâm phạm Phân tích nhớ tạm sử dụng thay bổ sung cho phản ứng trực tiếp, tùy thuộc vào mục tiêu điều tra cụ thể Phân tích nhớ, làm việc với hình ảnh nhớ định, giúp người điều tra dễ dàng xác định nhiều kiện khác trạng thái hệ thống khả nghi thời điểm thu nhận nhớ Volatility sử dụng để xác định tệp mà nghi phạm làm việc, hoạt động mạng mà tham gia gần Hình ảnh phát trích xuất dễ dàng cách sử dụng kỹ thuật thu thập liệu Có thể tìm thấy sử dụng chứng hoạt động độc hại nhiễm phần mềm độc hại máy tính để chứng thực chứng tìm thấy đĩa để phát dịng phần mềm độc hại khơng ghi vào đĩa Phân tích nhớ chí tiết lộ khóa mã hóa mật sử dụng để giải mã ổ đĩa tệp bị khóa, bao gồm việc truy cập 59 tệp người dùng ổ đĩa mạng dùng chung Với Volatility pháp y nhớ, khối lương chứng cơng thu lớn bảo lưu đến thời điểm kết xuất nhớ Cuối cùng, dù pháp y nhớ bắt đầu thay đổi cách thức tiến hành điều tra pháp y máy tính, cịn nhiều việc phải làm Nó lĩnh vực chủ yếu bao gồm kỹ sư đảo ngược phần mềm Hơn nữa, lây nhiễm cô lập, hiểu biết sâu sắc lây nhiễm chủ yếu có thơng qua kỹ thuật đảo ngược phần mềm độc hại Và khó khăn người dùng Volatility cần phải có kiến thức định cách thức xâm nhập mã độc VIII Tài liệu tham khảo [1] V Foundation, "Volatility," 20 12 2021 [Online] Available: https://code.google.com/archive/p/volatility/wikis [2] R Chandel, "Memory Forensics: Volatility Framework & Workbench," 29 10 2020 [Online] Available: https://www.hackingarticles.in/memory-forensicsusing-volatility-framework/ [Accessed 20 12 2021] [3] R Carbone, Malware Memory Analysis for Non-specialists: Investigating Publicly Available Memory Image for the Tigger Trojan Horse, Canada: DRDC Valcartier Research Centre North Quebec (Quebec) Canada, 2014 [4] W Aaron and N L Petroni, Volatools: Integrating Volatile Memory Forensics into the Digital, USA: Komoku, Inc., 2007 60 ... C:\Users\tranh\Desktop \Volatility\ volatility_2.6_win64_standalon e >volatility_ 2.6_win64_standalone.exe -f /infected.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility. debug... C:\Users\tranh\Desktop \Volatility\ volatility_2.6_win64_standalone >volatility _2.6_win64_standalone.exe -f /stuxnet.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility. debug... C:\Users\tranh\Desktop \Volatility\ volatility_2.6_win64_standalone >volatility_ 2.6_win64_standalone.exe -f /infected.vmem profile=Win7SP1x86 psscan Volatility Foundation Volatility Framework 2.6