HowToBasic_MemeoryForensicsJohnThunder
自我介紹• 姜尚德 aka John Thunder
• UCCU 戰隊• 高應大 - 資訊工程系 - 大四
• 聯絡資訊:[email protected]
Why ? Memory forensics
How ? Memory Acquisition Windows memory forensics
Agenda
你可以從記憶體找到以下資訊: 運行的程序 ( process ) 帳號、密碼與其他有用的資訊 Live Registry Key Malware 運行的痕跡 。。。 任何跑在 process 上的資訊
Why
對象分類CPU Cache RAM Pagefiles Storage
Live
CPU Cache RAM Pagefiles Storage
Dead
CPU Cache RAM Pagefiles Storage
Special
CPU Cache RAM Pagefiles Storage
Hibernation file
Local Acquisition to Removable Media 不可把 dump 出來的記憶體放在 C: or /root 底下,以免影響取證資料 注意不要交叉感染
Remote Acquisition 可用 psexec 遠端取證 windows( 但只支援 SMB 協定傳輸 ) 某些軟體可以用 TLS/SSL 傳輸
Runtime Interrogation 可以指定某一個記憶體區塊做取證,不用全部 dump
Hardware Acquisition 用 1394 取證 python vol.py –l firewire://forensic1394/<devno> plugin [options]
取證方法
Memory forensics Tool 簡單的 PlUGIN 、易讀的文件 只能分析 RAM Content
工具- volatility
IA32 Virtual Address Translation
https://technet.microsoft.com/zh-tw/library/cc736309(v=ws.10).aspx