Đang tải... (xem toàn văn)
Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính Digital Forensics (điều tra số) là một nhánh của ngành khoa học điều tra đề cập đến việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để thu thập, bảo quản, phân tích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn dữ liệu số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép như cố ý xâm nhập, tấn công hoặc gây gián đoạn quá trình làm việc của hệ thống.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - BÀI TẬP LỚN Đề tài: Tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Lớp: L01 Sinh viên thực hiện: Trần Thị Thanh Huyền Vũ Thị Hương Nguyễn Thị Hồng Phạm Thị Quỳnh Phạm Bảo Yến Giảng viên: Nguyễn Thị Hồng Hà Hà Nội, 5/201 LỜI MỞ ĐẦU Ngày nay, công nghệ thơng tin chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học cơng nghệ nói chung cơng nghệ thơng tin nói riêng đem lại nhiều lợi ích cho người, rút ngắn khoảng cách giao tiếp, tiết kiệm thời gian chi phí cơng việc Bên cạnh đó, tổ chức phải đối mặt với nhiều thách thức, mà công nghệ phát triển, giá trị thông tin truyền tải lưu trữ hệ thống máy tính ngày cao, mục tiêu cơng nhằm vào máy tính để đánh cắp thơng tin quan trọng, làm ảnh hưởng đến uy tín tổ chức Bài tốn an tồn thơng tin ln vấn đề cần trọng kỹ thuật công ngày tin vi song song với việc đảm bảo an toàn hệ thống vận hành an tồn, u cầu ứng phó giải có cố xảy để đưa hệ thống vào tình trạng hoạt động bình thường thời gian nhanh vấn đề trọng tâm Vì vậy, nhóm em lựa chọn đề tài “Tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính” để tìm hiểu số kỹ thuật thu thập phân tích thống tin an ninh mạng lấy từ nhớ máy tính triển khai hướng giải Bản báo cáo có phần: Chương I: Tổng quan thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Chương giới thiệu tổng quan điều tra số, vai trò, ứng dụng quy trình thu thập phân tích nhớ máy tính Chương II: Một số kỹ thuật công cụ thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Chương giới thiệu kỹ thuật số công cụ phổ biến sử dụng để thu thập phân tích thơng tin an ninh từ nhớ máy tính Chương III: Triển khai mơ hình thu thập phân tích thơng tin an ninh từ nhớ máy tính Page Chương áp dụng quy trình kỹ thuật phần để tiến hành điều tra thu thập, phân tích thơng tin từ nhớ máy tính Mặc dù cố gắng kiến thức thời gian nhiều hạn chế nên chắn đề tài khơng khỏi có thiếu sót, chúng em mong nhận ý kiến đóng góp thầy bạn sinh viên để chúng em tìm hiểu sâu đề tài Chúng em xin chân thành cảm ơn! Page MỤC LỤC LỜI MỞ ĐẦU DANH MỤC HÌNH ẢNH CHƯƠNG I – TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính 1.4 Vai trò ứng dụng thu thập phân tích nhớ máy tính 10 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính 10 1.5.1 Kiểm tra xác minh 11 1.5.2 Mô tả hệ thống 12 1.5.3 Thu thập chứng 12 1.5.4 Thiết lập mốc thời gian phân tích 12 1.5.5 Phân tích phương tiện truyền liệu 13 1.5.6 Khôi phục liệu 13 1.5.7 Tìm kiếm chuỗi 13 1.5.8 Lập báo cáo 14 CHƯƠNG II – MỘT SỐ KỸ THUẬT VÀ CƠNG CỤ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 15 2.1 Các kỹ thuật sử dụng thu thập phân tích thơng tin từ nhớ máy tính 15 2.1.1 Thu lại nhớ khả biến 15 2.1.2 Xác định nơi tìm nhớ khả biến 16 2.1.3 Liệt kê tiến trình thực thi 16 2.1.4 Liệt kê kết nối mạng có hệ thống 16 2.1.5 Phục hồi tập tin ánh xạ nhớ 17 2.1.6 Phân tích ngược tập tin chứa mã độc 17 2.1.7 Phân tích registry 18 Page 2.2 Một số công cụ 19 2.2.1 Volatility 19 2.2.2 DFF - Digital Forensic Framework 20 2.2.3 The Sleuth Kit Autospy 21 2.2.4 SANS Investigate Forensic Toolkit (SIFT) 22 3.1 Xây dựng toán 24 3.2 Lựa chọn công nghệ 24 3.2.1 Quy trình thực hiện: 24 3.2.2 Các cơng cụ sử dụng để thu thập, phân tích: 25 3.3 Thu thập chứng phân tích 26 3.3.1 Xác định hệ thống tiến hành kiểm tra, xác định môi trường thực phân tích 26 3.2.1 Phân tích tiến trình 26 3.2.2 Phân tích mạng 33 3.2.3 Phân tích Registry 36 3.2.4 Phân tích Kernel Memory Objects 38 3.3 Báo cáo kết đạt 41 KẾT LUẬN 43 TÀI LIỆU THAM KHẢO 44 Page DANH MỤC HÌNH ẢNH Hình 1.1: Sơ đồ quy trình điều tra nhớ 11 Hình 2.1: Kiểm tra kết nối mạng 17 Hình 2.2: Các plugins mà volatility hỗ trợ 19 Hình 2.3: Giao diện VolUtility 20 Hình 2.4: Giao diện DFF 21 Hình 2.5: Giao diện công cụ The Sleuth Kit 22 Hình 2.6: Giao diện SANS SIFT 23 Hình 3.1: Thơng tin hệ thống cần điều tra 26 Hình 3.2: Module pslist Volatility 27 Hình 3.3: Module pslist Volatility(2) 27 Hình 3.4:Các tiến trình nhớ 28 Hình 3.5:Các tiến trình nhớ(2) 28 Hình 3.6: Tiến trình cha/con 29 Hình 3.7:Tiến trình cha/con(2) 29 Hình 3.8: Tham số tiến trình 30 Hình 3.9: Các thư viện dll mà tiến trình executable40684e80.exe sử dụng 30 Hình 3.10: Trích xuất chương trình từ tiến trình 31 Hình 3.11: Kết scan virustotal executable40684e80.exe 31 Hình 3.12: Kết scan virustotal shell.exe 32 Hình 3.13: Kết scan virustotal xmrig.exe 33 Hình 3.14: Module netscan 34 Hình 3.15: Thông tin ip 108.61.164.63 35 Hình 3.16: Địa ảo vật lý Registry 36 Hình 3.17: In giá trị Registry 37 Hình 3.18: Dump liệu tài khoản registry 37 Page Hình 3.19: Dump Isa 38 Hình 3.20: Các hoạt động người dùng 38 Hình 3.21: Danh sách trình điều khiển 39 Hình 3.22: Danh sách driver nạp 39 Hình 3.23: danh sách file object 40 Hình 3.24: Liên kết Symlink 41 Page CHƯƠNG I – TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 1.1 Giới thiệu điều tra số Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thông tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, cơng gây gián đoạn q trình làm việc hệ thống Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Một số loại hình điều tra số phổ biến: - Registry Forensics: Đây loại hình điều tra liên quan đến việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Register - Disk Forensics: Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khơi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích - Mobile forensics: Là loại hình điều tra thực thiết bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập liệu, chứng kỹ thuật số Page - Application Forensics: Là loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng - Network Forensics: Là nhánh digital forensics liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thơng tin, kiện liên quan, tìm kiếm chứng pháp lý, mục đích phát bất thường, dấu hiệu xâm nhập môi trường mạng - Memory Forensics: Là phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ 1.2 Giới thiệu phân tích điều tra nhớ máy tính Memory Forensics kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Kỹ thuật điều tra sử dụng q trình phân tích tĩnh từ gói tin thu được, thơng tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, cung cấp thơng tin có chưa đầy đủ, chưa đủ sức thuyết phục Như biết phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng điều tra hình Nhưng cụ thể kỹ thuật mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để Page theo dõi diễn Tính hữu ích loại hình điều tra thực tế, thơng tin tìm thấy nhớ RAM, hiểu gần chạy hệ thống nạn nhân 1.3 Giới thiệu thu thập nhớ máy tính Sự thành cơng phân tích thường phụ thuộc vào khởi đầu giai đoạn thu thập điều tra Trong giai đoạn này, điều tra viên phải đưa định liệu cần thu thập phương pháp tốt để thu thập liệu Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp công cụ cụ thể sử dụng thường phụ thuộc vào mục tiêu điều tra đặc điểm hệ thống điều tra Một nhà điều tra kỹ thuật số tìm cách bảo vệ trạng thái mơi trường kỹ thuật số theo cách cho phép điều tra viên đạt suy luận xác thơng qua phân tích Dữ liệu lưu trữ đĩa RAM cung cấp hai thành phần quan trọng mơi trường đó.Quan điểm truyền thống điều tra số tập trung vào giả định độ tin cậy suy luận hoàn toàn phụ thuộc vào việc thu thập chứng mà không thay đổi trạng thái Ví dụ, thủ tục xử lý chứng thường chấp nhận liên quan đến việc tắt hệ thống tạo (ảnh) liệu thiết bị lưu trữ đĩa để phân tích ngoại tuyến Các quy trình thủ tục chuyển đổi tập trung vào việc giảm thiểu thay đổi file liệu hệ thống Khi lĩnh vực kỹ thuậtđiều tra số phát triển, trở nên rõ ràng với việc lưu trữ chọn lọc số chứng chi phí chứng quan trọng khác ảnh hưởng đến độ xác suy luận đưa Điều đặc biệt quan trọng tác nhân độc hại tìm cách khai thác hạn chế kỹ thuật thu thập chứng pháp y kỹ thuật số truyền thống Bằng cách so sánh liệu từ nhiều nguồn (đĩa, mạng, nhớ, v.v.) môi trường kỹ thuật số, hiểu rõ xảy hệ thống so với góc nhìn hạn chế tiếp nhận liệu từ nhớ đĩa Với nguồn thay này, phải chấp nhận tất phương pháp chuyển đổi, bao gồm thủ tục chuyển đổi đĩa truyền thống, dẫn đến số biến dạng môi trường kỹ thuật số Các nhà điều tra phải hiểu cách mà thay đổi tác động Page Qua việc phân tích tiến trình chạy thời hệ thống, nhận thấy có proccess lạ, là: - executable40684e80.exe với pid 3704 - Tiến trình shell.exevoiws pid 3980 - Tiến trình xmrig.exe với pid 2920 Đặc biệt, tến trình tiến trình tiến trình cha httpd.exe, tiến trình chạy dịch vụ web máy chủ Tiếp tục xem đoạn command line với tiến trình, ta thu thơng tin quan trọng Hình 3.8: Tham số tiến trình Tiến trình executable40684e80.exe kết nối đến địa IP lạ: 172.16.69.130 Kết nối kết nối “bất thường”, tiến trình lạ kết nối đến địa ip khác mạng internet Để hiển thị tệp DLL tải tiến trình, sử dụng module dlllist Module cung cấp thông tin thư viện dll mà tiến trình sử dụng để hoạt động Dựa vào thư viện dll đặc trưng, ta suy đốn hành vi tiến trình Ngồi ra, tiến trình chèn file dll độc hại vào hệ thống Hình 3.9: Các thư viện dll mà tiến trình executable40684e80.exe sử dụng Page 30 Trong hình trên, tiến trình executable40684e80.exe có đường dẫn thư mục C:\xampp\htdocs\web\executable40684e80.exe sử dụng thư viện ntdll.dll, wow64.dll, wow64win.dll wow64cpu.dll Trích xuất tiến trình nghi ngờ, tiến hành dịch ngược để phân tích sâu tiến trình Sử dụng module prodump Volatility Hình 3.10: Trích xuất chương trình từ tiến trình Sau trích xuất tiến trình thành file thực thi, sử dụng công cụ virus total để xác minh chương trình có độc hại hay khơng Kết 19/66 engines nhận tiến trình executable40684e80.exe mã độc (https://www.virustotal.com/#/file/aaae377cf7d8e9f652817ff706d5e0a15478714691acbf2 3bc41a17971dd0ac0/detection) Hình 3.11: Kết scan virustotal executable40684e80.exe Page 31 Với tiến trình shell.exe, kết 47/67 engines nhận mã độc (https://www.virustotal.com/#/file/879a9c819a1be72464b525c81dca5d2031da389dc95b19 0de47a58d6e3164d90/detection) Hình 3.12: Kết scan virustotal shell.exe Với tiến trình shell.exe executable40684e80.exe, engines virustotal nhận diện trojan/backdoor Tiếp tục với tiến trình xmrig.exe, có 26/65 engines nhận diện mã độc (https://www.virustotal.com/#/file/70e756dfac86554624d5df34d35e34cee39fd2c000e6fb2 e5a8aea35fc4f5a29/detection) Page 32 Hình 3.13: Kết scan virustotal xmrig.exe Đặc biệt, engines nhận diện mã độc đào tiền ảo Có thể nguyên nhân dẫn đến cpu máy chủ hoạt động mức 100% Để phân tích rõ xác cách thức hoạt động chương trình này, cần phải sâu vào nội dung phân tích mã độc dịch ngược phần mềm Tuy nhiên, hai nội dung phân tích mã độc dịch ngược phần mềm nằm nội dung tập lớn Bài tập lớn tập trung đến kỹ thuật thu thập phân tích, điều tra số nhớ máy tính Ngồi ra, trích xuất file dll mà tiến trình gọi đến module dlldump 3.2.2 Phân tích mạng Thông tin kết nối mạng bao gồm cổng lắng nghe hệ thống, kết nối thiết lập thông tin liên kết hệ thống với kết nối từ xa, thơng tin lấy từ nhớ Các thông tin kết nối mạng cho ta biết backdoor kết nối hệ thống, máy chủ điều khiển botnet Page 33 dựa vào kết nối Thơng tin kết nối mạng yếu tố quan trọng đáng tin cậy điều tra hệ thống bị thỏa hiệp Tiến hành phân tích kết nối thời có, dựa vào module netscan Hình 3.14: Module netscan Kết hợp với tiến trình nghi ngờ trên, ta có thơng số: Tiến trình shell.exe có kết nối với địa IP 172.16.69.130 port 4444 Tiến trình xmrig.exe có kết nối với địa IP 108.61.164.63 port 443 Tiến trình executable40684e80.exe kết nối với địa IP 172.16.69.130 port 30000 Kết hợp tiến trình nghi vấn kết nối bên ngồi, nghi ngờ tiến trình malware mà kẻ công cài cắm lên hệ thống Các kết nối “bất thường” máy chủ cung cấp dịch vụ web với listen port 80, tiếp nhận kết nối đến port 80 máy chủ web Việc tiến trình nhận diện mã độc, khẳng định kết nối kết nối độc hại Các địa ip 172.16.69.130; 108.61.164.63 địa ip c&c server kẻ công.Sử dụng cơng cụ ip2location để tìm thơng tin địa ip, lấy thơng tin quan trọng là: Page 34 Hình 3.15: Thơng tin ip 108.61.164.63 - Máy chủ đặt Hà Lan (https://www.proxydocker.com/en/proxy/108.61.164.1) - IP có liên quan đến việc đào tiền ảo (https://github.com/xmrig/xmrig/issues/499) Page 35 3.2.3 Phân tích Registry Các tập tin mở xử lý registry (registry handles) truy xuất tiến trình lưu trữ nhớ Thông tin tập tin mở hay xử lý liên quan đến Registry có giá trị việc điều tra Chúng ta hiểu này, giả sử có tiến trình phần mềm độc hại chạy hệ thống tập tin mở giúp người điều tra khám phá nơi mà mã độc hại lưu trữ đĩa Trong trường hợp phân tích điều tra nhớ RAM với việc phân tích Registry thực việc tạo dựng lại liệu registry, ví dụ để hiển thị giá trị chứa trong Registry winlogon, sử dụng lệnh printkey volatility Để xác định địa ảo registry nhớ đường dẫn đầy đủ tương ứng đĩa, sử dụng module hivelist Hình 3.16: Địa ảo vật lý Registry Để hiển thị khóa con, giá trị, liệu kiểu liệu chứa khóa đăng ký định, sử dụng module printkey Page 36 Hình 3.17: In giá trị Registry Để trích xuất giải mã thơng tin đăng nhập lưu trữ registry, sử dụng module hashdump Hình 3.18: Dump liệu tài khoản registry Qua kiểm tra cho thấy, có user người dùng tạo Admin test, thuộc group Administrator Để lấy thông tin LSA từ registry, sử dụng module Isadump Các thơng tin lấy mật mặc định (đối với hệ thống có bật tự động), khóa cơng khai RDP thơng tin đăng nhập đượcDPSPI sử dụng Page 37 Hình 3.19: Dump Isa Xem lại hoạt động người dùng cách sử dụng module userassist Hình 3.20: Các hoạt động người dùng Như hình trên, người dùng chạy ứng dụng Internet Explorer mở Windows Explorer Việc giúp cho người phân tích biết hành động (có thể người dùng kẻ cơng) làm hệ thống 3.2.4 Phân tích Kernel Memory Objects Để xem danh sách trình điều khiển kernel chạy hệ thống, sử dụng lệnh modules Page 38 Hình 3.21: Danh sách trình điều khiển Để tìm DRIVER_OBJECT nhớ vật lý, sử dụng module driverscan: Hình 3.22: Danh sách driver nạp Page 39 Để tìm FILE_OBJECT nhớ vật lý, sử dụng lệnh filescan Hình 3.23: danh sách file object Dựa vào thơng tin này, ta biết xác đường dẫn cúa chương trình shell.exe \Device\HarddiskVolume2\xampp\htdocs\web\shell.exe Với module symlinkscan, Volatility quét đối tượng liên kết tượng trưng xuất thơng tin chúng Page 40 Hình 3.24: Liên kết Symlink 3.3 Báo cáo kết đạt Thơng qua q trình phân tích nhớ máy chủ webserver công ty bên A, rút kết luận sau: - Máy chủ web chạy ứng dụng drupal phiên 7.38 bị cơng Dựa vào tiến trình mã độc tiến trình dịch vụ httpd Kết hợp với thông tin vừa công bố, drupal phiên 7.58 bị dính lỗi nghiêm trọng cho phép thực thi mã từ xa (RCE) CVE-2018-7600 Lỗi thử nghiệm khai thành công website thông tin cơng ty - Các tiến trình độc hại là: + executable40684e80.exe với pid 3704 có path \Device\HarddiskVolume2\xampp\htdocs\web\executable40684e80.ex e Page 41 + shell.exe với pid 3980, có path là: \Device\HarddiskVolume2\xampp\htdocs\web\shell.exe + xmrig.exe với pid 2920, có path là: \Device\HarddiskVolume2\xampp\htdocs\web\xmrig.exe - Địa ip kết nối bên ngồi bị nghi ngờ kẻ cơng: 172.16.69.130 - Hai tài khoản có quyền quản trị admin test kẻ công giả mạo Biện pháp khắc phục: - Ngay cách ly máy chủ khỏi môi trường internet - Thực cài đặt vá lỗi CVE-2018-7600, cập nhật drupal lên phiên Thay đổi toàn mật người dùng web - Gỡ bỏ mã độc tồn hệ thống, cài đặt phần mềm anti-virus lên hệ thống - Xoá tài khoản kẻ cơng tạo Thay đổi lại tồn mật hệ thống - Rà sốt lại tồn mã nguồn, sở liệu website Rà sốt lại tồn hệ thống máy chủ web Page 42 KẾT LUẬN Ngày nay, tình hình an tồn thơng tin giới diễn vô phức tạp quan tâm hết Vấn đề an ninh nhớ máy tính nhiều người quan tâm tìm hiểu, đưa giải pháp khác để đảm bảo an ninh cho nhớ máy tính Việc sử dụng kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính giúp người quản lý thơng tin an ninh từ nhớ máy tính cách tốt hơn, sớm phát cơng vào nhớ máy tính Báo cáo đạt mục tiêu sau: - Nắm vấn đề thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Các kỹ thuật, quy trình thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Thực thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính cơng cụ Volatility Tuy nhiên, q trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hy vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao Page 43 TÀI LIỆU THAM KHẢO Kristine Amari- Techniques and Tools for Recovering and AnalyzingData from Volatile Memory - SANS Institute Reading Room site 2009 Roberto Obialero – Forensic Analysis of a Compromised Intranet Server – SANS Institute Reading Room site 2006 Michael Hale Ligh, Andrew Case, Jamie Levy, Aaron Walters – The Art of Memory Forensics: Dectecting Malware and Threats in Windows, Linux, and Mac Memory,1st Edition Page 44 ... tin dạng hình ảnh đầy đủ phục vụ hữu ích cho việc theo dõi hoạt động hệ thống (hiển thị thời gian cuối tập tin thực thi chạy, tập tin/thư mục Page 12 tạo/xóa thời gian qua, đồng thời chứng minh... lí registry hives nhớ, sau xác định địa ảo registry nhớ đường dẫn đầy đủ đến hives tương ứng đĩa cuối hiển thị khóa con, giá trị, liệu kiểu liệu chứa khóa registry định, mục đích tìm kiếm thơng... trình thiết lập mốc thời gian phục vụ hữu ích cho việc theo dõi hoạt động hệ thống như: - Thời gian cuối tệp tin thực thi chạy - Các tệp tin/thư mục tạo, xoá khoảng thời gian Page 24 - … Quá trình