đồ án tốt nghiệp ứng dụng memory forensics

BAN CƠ YẾU CHÍNH PHỦHỌC VIỆN KỸ THUẬT MẬT MÃ ****** ĐỒ ÁN TỐT NGHIỆP Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp Chuyên ngành: An toàn thông tin Gv hướn

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

******

ĐỒ ÁN TỐT NGHIỆP

Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp

Chuyên ngành: An toàn thông tin

Gv hướng dẫn: Th.s Vũ Đình Thu

Sv thực hiện: Lê Công Phú

Hà Nội, 06/2013

1

NỘI DUNG

 ĐẶT VẤN ĐỀ

 MỤC TIÊU CỦA ĐỒ ÁN

 CÁC NỘI DUNG THỰC HIỆN

 KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN

MỤC TIÊU CỦA ĐỒ ÁN

3

Mục tiêu

 Hiểu được tầm quan trọng của chứng cứ số.

 Nắm bắt được kiến thức nền tảng cần có khi điều tra phân tích bộ nhớ.

 Nắm bắt được quy trình phân tích chứng cứ số

 Kỹ thuật hiện đang được các chuyên gia phân tích chứng cứ số sử dụng.

 Ứng dụng kỹ thuật điều tra và phân tích bộ nhớ vào thực tế để giải quyết sự cố an toàn thông tin khi một hệ thống bị thỏa hiệp.

CÁC NỘI DUNG THỰC HIỆN

5

Các nội dung thực hiện

 Tổng quan về phân tích điều tra số

 Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ

 Quy trình và cách thức thực hiện phân tích điều tra bộ nhớ

 Ứng dụng phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp

 DEMO

Tổng quan về phân tích điều tra số

7

Tổng quan về phân tích điều tra số

 Khái niệm

Điều tra số là ngành khoa học máy tính bao gồm việc điều tra và phục hồi các dữ liệu tìm thấy trong các thiết bị kỹ thuật số để tìm kiếm các chứng cứ số liên quan đến tội phạm công nghệ cao.

 Ứng dụng của điều tra số

o Về mặt kỹ thuật:

đến an toàn thông tin xảy ra đối với hệ thống của họ, qua đó xác định được các điểm yếu để khắc phục, kiện toàn.

o Về mặt pháp lý:

công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm pháp.

Tổng quan về phân tích điều tra số (cont…)

 Quy trình thực hiện điều tra số

 Các loại hình điều tra số phổ biến

Điều tra tập tin hệ thống

Phân tích điều tra Registry

9

Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân

tích điều tra bộ nhớ

Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích

điều tra bộ nhớ

 Khái niệm

o Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc đang bị tấn công để tiến hành điều tra, giúp cho việc xác định nguyên nhân cũng như các hành vi đã xảy ra trên hệ thống.

 Vai trò

o Giúp xác định nhanh nguyên nhân hệ thống bị tấn công, cũng như các kỹ thuật mà kẻ tấn công đã sử dụng từ đó có thể khắc phục và giảm thiểu thiệt hại gây ra đối với các tổ chức khi mà hệ thống của họ đã bị thỏa hiệp

o Cung cấp cho cơ quan pháp lý các chứng cứ thuyết phục về mặt công nghệ cao để xử lý tội phạm theo quy định của pháp luật.

11

Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ

(cont…)

 Tại sao lại phải phân tích điều tra bộ nhớ

o Tất cả mọi thứ trong hệ điều hành đều đi qua RAM

o Những dữ liệu tìm thấy trong bộ nhớ khả biến.

 Các tiến trình và các tập tin đang mở

 Mã độc

 Các kết nối mạng, các sockets, URLs, địa chỉ IP

 Nội dung người dùng tạo ra

 Mật khẩu và các khóa mật mã

 Cấu hình phần cứng và phần mềm

 Các khóa Registry trong windows và các nhật ký sự kiện

 …

Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ

(cont…)

 Nền tảng kỹ thuật cho phân tích điều tra bộ nhớ

Quản lý bộ nhớ ảo theo cấu trúc phân trang

Quy trình và cách thức thực hiện điều tra bộ nhớ

Quy trình và cách thức thực hiện điều tra bộ nhớ

 Môi trường phân tích điều tra bộ nhớ

15

Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…)

 Quy trình thực hiện phân tích điều tra bộ nhớ

1 Kiểm tra xác minh

2 Mô tả hệ thống

3 Thu thập chứng cứ

4 Thiết lập mốc thời gian và phân tích

5 Lập báo cáo

Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…)

 Công cụ sử dụng trong phân tích dữ liệu từ bộ nhớ khả biến

17

Ứng dụng của phân tích điều tra bộ nhớ trong phân tích

điều tra hệ thống bị thỏa hiệp

Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị

thỏa hiệp

 Trong phân tích điều tra hệ thống bị thỏa hiệp thì Memory Forensics có thể xác định.

bao gồm các tiến trình ẩn

19

Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp

(cont…)

Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp

(cont…)

21

DEMO

23