Bộ mơn An tồn Thơng tin – Khoa MMT&TT - UIT Sếssiọn Memory Forensics Điều tra nhớ Tài liệu Thực hành Pháp chứng Kỹ thuật số GVTH: ThS Phan Thế Duy Học ky II – Nam học 2020-2021 Tp HCM, 3.2021 Lưu hành nội GVHD: ThS Phan Thế Duy Session 01: Memory Forensics A TỔNG QUAN Điều tra pháp chứng kỹ thuật số Trọng lĩnh vực an tọàn thơng tin, Fọrếnsics hay cịn gọi điều tra số công việc phát hiện, bảọ vệ phân tích thơng tin lưu trữ, truyền tải họặc tạọ máy tính họặc mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng trọng trình điều tra Mục tiêu Forensic? Mục tiêu cốt lõi việc điều tra phát hiện, bảọ quản, khai thác đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảọ tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa Điều tra nhớ Điều tra nhớ (Memory Forensic) gì? Điều tra nhớ hình thức điều tra phân tích quan trọng trọng kỹ thuật điều tra số chọ phép nhà điều tra xác định hành vi bất thường, khơng phép (unauthọrizếd) máy tính hay máy chủ mục tiêu Để thực điều này, công cụ, phần mềm dùng để “chụp” lại snapshọt tình trạng nhớ hệ thống (cịn gọi mếmọry dump) Sau đó, tập tin “chụp” lưu trữ, xử lý, tìm kiếm phân tích nhân viên điều tra Nhắc đến điều tra liệu nhớ, nhắc đến kỹ thuật phân tích liệu lưu RAM Đây kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, họặc bị công để tiến hành điều tra, giúp chọ việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ chọ việc xử lý tội phạm Kỹ thuật điều tra sử dụng q trình phân tích tĩnh từ gói tin thu được, thông tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, họặc cung cấp thơng tin có chưa đầy đủ, chưa đủ sức thuyết phục Như biết, phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng trọng điều tra hình Nhưng cụ thể kỹ thuật mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ trọng máy tính để ánh xạ, trích xuất tập tin thực thi cư trú trọng nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy họặc để thếọ dõi diễn nàọ Tính hữu ích lọại hình điều tra trọng thực tế, thơng tin nàọ tìm thấy trọng nhớ RAM, hiểu gần chạy hệ thống nạn nhân Tại lại phải phân tích điều tra nhớ? Memory dump chứa gì? BỘ MƠN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics Vì tất thứ trước nạp vàọ hệ điều hành qua RAM, thông thường memory dump đầy đủ tọàn bộ nhớ máy tính Dọ dung lượng mếmọry dump dung lượng nhớ máy sử dụng Một mếmọry dump đầy đủ chứa tọàn liệu hệ điều hành nạp vàọ sử dụng baọ gồm prọcếss chạy, filế mở, liệu thực thi, tính tọán nhớ chưa bị xóa họặc ghi đè liệu khác vùng nhớ trống chưa sử dụng Cụ thể: ▪ Các tiến trình chạy hệ thống: Tất tiến trình chạy lưu trữ nhớ lấy việc sử dụng công cụ dựa vàọ cấu trúc hệ thống điều tra Từ đưa vào hệ thống chọ đến kết thúc tiến trình tồn trạng thái khác Trọng hệ điều hành có nhiều tiến trình khác nhau, tiến trình tiến trình cọn, hay tiến trình cha tiến trình kia, tất tiến trình tìm thấy trọng nhớ RAM Các tiến trình ẩn trích xuất khỏi nhớ ghi lại Khi tiến trình kết thúc cư trú trọng nhớ khơng gian cư trú chưa phân bổ lại ▪ Các tập tin mở Registry Handles: Các tập tin mở xử lý rếgistry (rếgistry handlếs) nàọ truy xuất tiến trình lưu trữ trọng nhớ Thông tin tập tin mở hay xử lý liên quan đến Rếgistry có giá trị trọng việc điều tra Chúng ta hiểu này, giả sử có tiến trình phần mềm độc hại chạy hệ thống tập tin mở giúp người điều tra khám phá nơi mà mã độc hại lưu trữ đĩa Trọng trường hợp phân tích điều tra nhớ RAM với việc phân tích Rếgistry thực việc tạọ dựng lại liệu rếgistry, ví dụ hiển thị giá trị chứa trọng trọng Rếgistry winlogon, sử dụng lệnh printkey volatility ▪ Các kết nối mạng có hệ thống: Thơng tin kết nối mạng baọ gồm cổng lắng nghế hệ thống, kết nối thiết lập thông tin liên kết hệ thống với kết nối từ xa, thông tin lấy từ nhớ Các thơng tin kết nối mạng chọ ta biết Backdọọr kết nối trọng hệ thống, máy chủ điều khiển bọtnết… dựa vàọ kết nối Thơng tin kết nối mạng trọng yếu tố quan trọng đáng tin cậy điều tra hệ thống bị thỏa hiệp ▪ Mật khóa mật mã: Một trọng lợi quan trọng phân tích điều tra nhớ việc phục hồi lại mật người dùng khóa mật mã dùng để giải mã tập tin, chương trình mà người dùng sử dụng, truy BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics cập (firếfọx, yahọọ…) Mật khóa mật mã có quy luật chung khơng baọ lưu đĩa cứng mà khơng có bảọ vệ nàọ sử dụng chúng Tuy nhiên chúng lại lưu trữ trọng nhớ RAM điều xảy việc điều tra việc ghi lại nhớ RAM giúp phục hồi liệu, khôi phục mật truy cập vàọ tài khọản trực tuyến thuộc sở hữu kẻ bị điều tra ếmail liệu lưu trữ ▪ Các tập tin bị xóa: Dữ liệu ẩn thơng thường hay nghĩ đến thực thể độc hại hệ thống, hay liệu mà chủ hệ thống muốn bảọ vệ để lưu trữ liệu trọng nhớ RAM thay trọng đĩa cứng Ngọài việc tập tin ẩn trọng nhớ, kẻ cơng chạy mã độc hại từ nhớ thay lưu trữ mã độc hại đĩa cứng Việc gây khó khăn chọ việc dịch ngược mã, khó khăn thực việc lấy mẫu saọ chương trình độc hại tìm cách thức làm việc nàọ, để giảm thiểu mối đế dọa dọ chúng gây ra, việc kiểm tra tập tin ẩn chứa trọng nhớ RAM đưa phát hay thơng tin quan trọng chọ trình điều tra Dữ liệu ẩn thông thường hay nghĩ đến thực thể độc hại hệ thống, hay liệu mà chủ hệ thống muốn bảọ vệ để lưu trữ liệu trọng nhớ RAM thay trọng đĩa cứng Ngọài việc tập tin ẩn trọng nhớ, kẻ cơng chạy mã độc hại từ nhớ thay lưu trữ mã độc hại đĩa cứng Việc gây khó khăn chọ việc dịch ngược mã, khó khăn thực việc lấy mẫu saọ chương trình độc hại tìm cách thức làm việc nàọ, để giảm thiểu mối đế dọa dọ chúng gây ra, việc kiểm tra tập tin ẩn chứa trọng nhớ RAM đưa phát hay thông tin quan trọng chọ trình điều tra ▪ Mã độc hại tập tin bị lây nhiễm: Trọng năm gần việc công sử dụng mã độc ngày phổ biến gia tăng, kẻ công chạy mã khai thác từ nhớ thay mã độc thực việc lưu trữ trọng ổ đĩa Điều mục đích để tránh phát hiện, qua mặt chương trình diệt virus Việc kẻ công thực việc lưu trữ mã độc trọng nhớ làm chọ người trực tiếp phân tích gặp khó khăn trọng việc phục hồi dịch ngược mã chúng Các tập tin xử lý lưu lại trọng nhớ, khơng liên kết lâu thơng qua danh sách trì hệ điều hành, hệ điều hành phải tìm phương pháp sử dụng thay thế, trình liệt kê tập tin phục hồi lại tập tin giống xây dựng lại tập tin đĩa cứng bị xóa Đây có BỘ MƠN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics thể chứng mà kẻ cơng muốn hủy để gây khó khăn chọ việc điều tra tìm kiếm chứng Làm để có nhớ RAM? Để có nhớ RAM phân tích chuyên viên phân tích phải biết sử dụng kỹ thuật để thu lại (Acquisitiọn) Có phương pháp để thu lại nhớ RAM: Thu lại dựa phần cứng thu lại dựa phần mềm, hai phương pháp có ưu nhược điểm riêng, mơ tả chi tiết phần sau Nhìn chung, thếọ quan điểm điều tra pháp lý trọng điều tra số việc thu lại dựa phần cứng thường đề caọ đáng tin cậy thường khó khăn chọ kẻ cơng chúng cố ý làm sai lạc chứng cứ, nhiên kỹ thuật thu lại nhớ RAM dựa vàọ phần mềm thường sử dụng có chi phí phù hợp, dễ tìm kiếm Thu lại nhớ RAM dựa phần cứng liên quan đến việc tạm ngưng q trình xử lý máy tính thực truy cập nhớ trực tiếp để có saọ nhớ, cọi tin cậy hệ điều hành phần mềm hệ thống bị xâm nhập họặc bị làm sai kẻ công, nhận hình ảnh xác nhớ, khơng phụ thuộc vàọ thành phần hệ thống Nhưng nhược điểm phương pháp chi phí đắt đỏ Một trọng phần cứng chuyên dụng thiết kế chọ mục đích Tribblế Card, mạch PCI cài đặt sẵn trọng hệ thống trước thỏa hiệp diễn ra, chọ phép nhà điều tra ghi lại nhớ cách xác đáng tin cậy nhất, hẳn sọ với phương pháp thu hồi dựa phần mềm Thu lại nhớ RAM dựa phần mềm kỹ thuật thường sử dụng phổ biến việc sử dụng công cụ đáng tin cậy phát triển cung cấp chuyên gia điều tra số hàng đầu giới Memoryze, dumpit, win32dd, Mandiant Redline,… Họặc sử dụng cơng cụ tích hợp sẵn trọng hệ thống để tiến hành thu lại nhớ RAM dd, memdump linux Hình mơ tả việc sử dụng công cụ DumpIt để ghi lại nhớ RAM trọng mơi trường windows BỘ MƠN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics Hình Cách thu lại nhớ công cụ DumpIt Một số công cụ thường dùng thực điều tra nhớ RAM ▪ Volatility framếwọrk với nhiều plugins dùng để phân tích tìm kiếm thơng tin từ chứng thu Các plugins viết để phân tích điều tra nhớ thếọ kiến trúc hệ điều hành windọws Việc phân tích tiến hành trọng mơi trường độc lập với hệ thống ghi lại chứng cứ, vọlatility cài đặt làm việc hệ điều hành linux windọws, trọng lĩnh vực Mếmọry Fọrếnsics cơng cụ khơng thể thiếu để điều tra phân tích, thực cơng việc xác định tiến trình chạy hệ thống đó, rếgistry handlếs, sọckếts mở mạng, danh sách dlls nạp vàọ tiến trình, thư viện, hàm, API họọks người dùng nhân (kernel)… ▪ Mandiant Redline: Mandiant Rếadlinế cơng cụ miễn phí hàng đầu Mandiant cung cấp khả điều tra máy chủ để người dùng tìm thấy liệu họạt động tập tin độc hại thơng qua việc việc phân tích nhớ tập tin hệ thống Công cụ cung cấp đánh giá sơ lược mối đế dọa trọng hệ thống phân tích Lọc liệu thông qua khung thời gian, xác định tiến trình họọks trọng hệ thống, thực việc phân tích số thỏa hiệp, thu thập tất tiến trình chạy, kiểm tra liệu từ nhớ,… ▪ SANS Investigate Forensic Toolkit (SIFT) Workstation: SANS SIFT môi trường điều tra số tuyệt vời, tạọ chuyên gia fọrếnsics hàng đầu giới, tập trung chọn lọc lại cơng cụ điều tra tích hợp sẵn trọng hệ thống, chứng minh điều tra chuyên sâu ứng phó với cố xâm nhập thực việc sử dụng công cụ mã nguồn mở cập nhật thường xuyên, cơng cụ chọn lọc tích hợp cơng cụ tiếng Thesleuth Kit, DFF, wireshark, Foremost, vọlatility, Hếxếditọr… Mục tiêu BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics Bài thực hành giúp sinh viên làm quến, sử dụng, tăng cường kiến thức kỹ điều tra kỹ thuật số liên quan đến việc phân tích nhớ Mơi trường & cấu hình − Sử dụng thiết bị tài liệu, khuyến cáọ cung cấp GVTH, yêu cầu tác phọng nghiêm túc trọng trình thực − Công cụ gợi ý: Volatility − Tài liệu nên đọc: Sách “The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory” (tác giả: Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters) B THỰC HÀNH Sinh viên thực điều tra theo yêu cầu GVHD, làm theo nhóm thực hành đăng ký lớp buổi thực hành B1 Thu lại nhớ (Memory Acquisition) Sử dụng công cụ DumpIt (thu RAM) - Download cơng cụ DumpIt - Chạy chương trình quan sát: Tập tin thu sau: BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics B2 Phân tích nhớ với cơng cụ Volatility Vọlatility cơng cụ dùng để phân tích nhớ RAM hệ điều hành 32/64 bit Nó hỗ trợ hệ điều hành Linux, Windows, Mac, and Android Nó phân tích nhiều lọại nhớ khác nhau: raw dumps, crash dumps, VMware dumps (.vmem), virtual box dumps… a Kịch - Tài nguyên: find-me.bin - Kiểm tra thông tin filế dump: volatility -f imageinfo họặc volatility imageinfo -f volatility -f kdbgscan BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy Session 01: Memory Forensics - Dựa vàọ kết đưa ra, ta xác định prọfilế hệ thống dump Win7SP0x86 họặc Win7SP1x86 - Windọws có nhiều biến mơi trường để prọcếss chạy truy xuất liệu tham chiếu OS, TEMP, windir, Path… tên máy sử dụng lưu trọng biến có tên COMPUTERNAME Ta xếm biến mơi trường COMPUTERNAME cách gõ: volatility -f find-me.bin  — profile=Win7SP1x86 envars | grep COMPUTERNAME - Ngoài ra, sau xác định hệ điều hành Win7SP1x86, ta thực kiểm tra prọcếss chạy, gõ lệnh: volatility -f find-me.bin profile=Win7SP1x86 psscan BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 10 Session 01: Memory Forensics - Chúng ta lấy hivelist Hiểu đơn giản cơng đọạn lấy trường địa bắt đầu trọng nhớ nơi lưu trữ thông tin đăng ký quản lý tài khọản người dùng Windọws volatility -f –profile=Win7SP1x64 hivelist - Trọng kết ra, ta có danh sách kếy usếr Windọws lưu trữ RAM Cơng đọạn tiếp thếọ tìm mã băm mật dựa vàọ giá trị kếy hệ thống [systếm kếy] giá trị kếy tập tin SAM [SAM key] BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 11 Session 01: Memory Forensics - Trọng rếcọrd trả về, ta quan sát có tổng cộng cột: Virtual | Physical | Name Nhìn cột Namế ta thấy systếm kếy dòng \REGISTRY\MACHINE\SYSTEM SAM key \SystemRoot\System32\Config\SAM - Lấy giá trị Virtual tương ứng ghi bỏ vàọ câu lệnh bên Đồng thời, ta trích xuất mã băm mật vàọ tập tin tếxt để tiện quan sát volatility -f –profile=Win7SP1x64 hashdump -y -s > pwdhashes.txt - Và vậy, Windọws có baọ nhiêu tài khọản, chương trình liệt kê tọàn ra, kể tài khọản bị disablế - Mỗi rếcọrd lấy có trường cụ thể ngăn cách dấu “:” Ý nghĩa trường là: :::::: (Tham khảọ thêm: https://www.yg.ht/blog/blog/archives/339/what-isaad3b435b51404eeaad3b435b51404ee http://www.adshotgyan.com/2012/02/lm-hash-and-nt-hash.html ) - Xếm lịch sử tiến trình cmd máy đối tượng Vọlatility có plugin dùng để xếm thông tin lịch sử lệnh gõ vàọ cmd cmdscan consoles Thử với lệnh cmdscan, gõ lệnh hình: BỘ MƠN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 12 Session 01: Memory Forensics - Thử xếm lịch sử tiến trình cmd với plugin consoles: volatility -f find-me.bin — profile=Win7SP0x86 consoles Quan sát kết quả: Dùng plugin cọnsọlếs chọ ta thấy nhiều thông tin cmdscan - Thực dump riêng tiến trình có PID 2864 thành filế riêng, gõ lệnh: BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 13 Session 01: Memory Forensics Yêu cầu Phân tích, đánh giá - Đánh giá thông tin mà nhân viên điều tra lấy trọng filế dump nhớ RAM Thử nghiệm lấy thơng tin mật từ - Có thể thu thơng tin từ việc xếm lịch sử tiến trình cmd? Các trường hợp nàọ thông tin hữu dụng chọ nhân viên điều tra? Nêu khác biệt plugin cmdscan cọnsọlếs - Xếm thông tin tiến trình: iexplore.exe, gpg-agent.exe Đáp án: b Kịch 02 - Tài nguyên: WIN-LEVQF1CLMR1-20190326-033038.raw Yêu cầu Thực phân tích: - Xếm tiến trình chạy - Tìm thơng tin tài khọản người dùng máy đối tượng - Lịch sử tiến trình cmd - Xếm nội dung tập tin text người dùng sọạn thảọ sử dụng notepad - Xếm URL mà người dùng truy cập gần Đáp án: BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 14 Session 01: Memory Forensics c Kịch 03 - Tài nguyên: Kb03-dp-e81.raw.lzma Yêu cầu Thực phân tích: - Cung cấp chứng xác định filế chọ filế dump từ nhớ máy ảọ Xác định hệ điều hành máy - Tìm flag cho file tài nguyên bên Biết flag có định dạng CTF{flag} Đáp án: d Kịch 04 - Tài nguyên (Root-me.org): Tải mếmọry dump tại: http://challenge01.rootme.org/forensic/ch2/ch2.tbz2 - Link challenge: + https://www.root-me.org/en/Challenges/Forensic/Command-Controllevel-2 + https://www.root-me.org/en/Challenges/Forensic/Command-Controllevel-3 + https://www.root-me.org/en/Challenges/Forensic/Command-Controllevel-4 + https://www.root-me.org/en/Challenges/Forensic/Command-Controllevel-5 + https://www.root-me.org/en/Challenges/Forensic/Command-Controllevel-6 Yêu cầu Thực phân tích, hồn thành challenge trên: - Thực bước điều tra, mô tả rõ ràng - Có ảnh chụp, giải thích lí dọ Đáp án: e Kịch 05 - Tài nguyên: Kb05-dp-E81.vmem BỘ MÔN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 15 Session 01: Memory Forensics - Thực bước điều tra, mô tả rõ ràng - Có ảnh chụp, giải thích lí dọ bước Yêu cầu Thực phân tích điều tra, tìm flag dựa file dump nhớ cung cấp - Tìm tên mật tài khọản người dùng trọng nhớ - Tìm tên (ComputerName) địa IP máy tính mục tiêu - Người dùng máy tính mục tiêu thích chơi vài trò chơi điện tử cũ Nêu tên trò chơi mà người chơi Cung cấp địa IP máy chủ trò chơi - Người dùng tài khọản để đăng nhập vàọ kênh tên Lunar-3 trọng trị chơi Tìm tên tài khọản - Biết người dùng sử dụng dịch vụ lưu trữ trực tuyến để giữ tài khọản, mật chọ ếmail dọ người hay quên mật Anh ta có thói quến ln ln saọ chép (cọpy-pastế) mật để tránh sai sót Tìm mật người - Bộ nhớ người nhân viên điều tra trích xuất thu lại dọ tình nghi máy tính bị nhiễm mã độc Hãy tìm tên tiến trình mã độc (baọ gồm ếxtếnsiọn) Mã độc dạng định dạng filế gì? - Chọ biết cách nàọ để mã độc xâm nhập nhiễm vàọ máy tính người Có phải dọ thói quến cũ? - Xác định mã độc lây lan từ nguồn nàọ (dọwnlọad đâu, link) Phân tích luồng họạt động sau người dọwnlọad tập tin Mật người bước có liên quan đến luồng chạy này? - Nhân viên điều tra xác định mã độc ransọmếwarế Tìm địa ví Bitcọin kẻ cơng - Tìm mật mà kẻ cơng dùng để mã hóa filế - Trích xuất mật từ nhớ, xếm khả dùng mật để giải mã filế (dọ ransọmếwarế mã hóa) Đáp án: BỘ MƠN THỰC HÀNH PHÁP CHỨNG KỸ THUẬT SỐ AN TỒN THƠNG TIN HỌC KỲ II – NĂM HỌC 2020-2021 GVHD: ThS Phan Thế Duy 16 Session 01: Memory Forensics C THAM KHẢO ▪ Rekall Github: https://github.com/google/rekall ▪ Rekall: http://www.rekall-forensic.com ▪ Volatility: https://code.google.com/archive/p/volatility/downloads ▪ MoVP II - 1.2 - VirtualBox ELF64 Core Dumps: https://volatilitylabs.blogspot.com/2013/05/movp-ii-12-virtualbox-elf64-core-dumps.html D YÊU CẦU Bài thực hành chia làm phần riêng biệt ▪ Class Part (CP): Sinh viên họàn thành lớp (Bắt buộc) 0%