最近更新文章
2018/11/17
TYAN 發佈 Intel Xeon E-2100 處理器優化的入門級伺服
2018/11/17
BitoPro X NEM 聯手打造公鏈新時代
2018/11/16
遠傳電信加入 DOCOMO亞洲物聯網計畫
2018/11/16
資策會耕耘智慧製造、智慧交通、AI資安成果豐
2018/11/16
台灣大攜手 Nokia 完成5G與終端互連互配 見證1.6Gbps速率
2018/11/16
成長型企業常見課題 資料中心從自建到雲端
2018/11/15
Aruba創新AI行動安全技術 實現最佳邊緣運算體驗
2018/11/15
2018年紅帽亞太區創新獎:國泰世華銀行與台灣期貨交易所
2018/11/15
F-Secure 收購 MWR 提高產品的檢測及回應能力
2018/11/15
模組化資料中心具彈性 IT與OT融合成進行式
2018/11/14
Intel XMM 8160 5G 多模數據機晶片組上市時程提前
2018/11/14
威聯通專為機器學習打造一站式 TS-2888X AI-Ready NAS
2018/11/14
走向零廢棄 UL認證標準協助企業迎接循環經濟
2018/11/14
台北金融科技展:創造金融與消費生活的新連結
2018/11/14
Account was hacked!你收到恐嚇信了嗎?
2018/11/14
五大要領做好雲部署準備
2018/11/14
強化邊緣運算競爭力 智慧儲存位居要角
2018/11/13
超過80%新電腦裝載盜版軟體、並遭惡意軟體侵害
2018/11/13
Fortinet 收購 ZoneFox 強化內部威脅分析能力
2018/11/13
希捷結合IBM運用區塊鏈 打擊硬碟偽造問題
2018/11/13
確實做好認證機制 點對點協定使用無虞
2018/11/13
無線設備搶鮮802.11 ax 解決高密度連網環境干擾
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/11/6

加密/反鑑識氣焰高張 傳統鑑識技術必須升級

揮發性記憶體藏細節 找出帳密遏止數位犯罪

中央警察大學資訊密碼暨建構實驗室(ICCL)
電腦與智慧裝置的普及,使得數位犯罪持續攀升,迫使人們重新思考電腦鑑識的其他出路,從而將焦點移轉到揮發性資料,開始挖掘記憶體內的豐富證據。本文透過FTK Imager工具儲存揮發性記憶體內的資料,然後使用WinHex顯示所儲存的資料,完成蒐集使用者的帳密資訊。
知名的防毒軟體公司已經捕獲許多型態的惡意程式,且平均樣本數超過1,000萬種。如何通過政府立法有效防範數位裝置的不當使用、如何處理司法犯罪的問題,顯然是迫在眉睫的兩大議題。

此外,許多有關電子證據和法律專業的研究正在著手進行,這都讓電腦鑑識研究成為熱門的話題。

在傳統電腦鑑識裡,多數的涉案電腦在犯罪調查中是關閉的。因此,鑑識人員會使用隨插即用的裝置複製電腦硬碟資料,爾後針對映像檔進行事後的資料分析。然而,隨著電腦硬體的發展,高儲存容量記憶體受到廣泛的使用。此外,各種加密與反鑑識技術正悄然誕生,使得傳統的鑑識方式錯失許多重要的有效訊息。

電腦記憶體中的揮發性資料可能包含犯罪相關的關鍵資訊,例如加密使用的密碼、犯罪過程中的系統狀態、使用反鑑識工具的軌跡,以及與系統相關而容易遭到忽略的惡意軟體和後門資料等其他相關訊息,因此電腦安全專家和司法機構近年來更專注於揮發性資料的鑑識。

記憶體鑑識分析的焦點是,獲取有關犯罪的實體資訊。近年來,記憶體可以在鑑識分析的過程中,透過文本或關鍵字搜尋的方式進行解讀,分析人員已經可以從記憶體映像檔獲取實質有用的訊息。然而,為了更加了解系統環境運行的狀況和描述性資料的相關訊息,必須理解相關資料結構和背景的前提假設,不論涉及的是何種型態的數位證據,案件分析所面臨的主要困難,是決定如何從大量的合法資料隔離惡意程式碼,分析人員必須具備精確的資料關聯辨識能力,這在記憶體鑑識分析的過程中至關重要。

電腦與網路的使用,通常涉及帳號登入和密碼輸入,透過使用者帳號、密碼的辨認,可以對應到一系列的人為操作結果。然而,網路帳戶的登入行為,鮮少在系統設定檔(Registry)留下相關線索,於是本文借助記憶體鑑識方法,透過軟體工具進行記憶體的記憶體傾印(Memory Dump),並將製作完成的映像檔進行內容的搜尋分析。先利用FTK Imager製作映像檔,爾後使用WinHex顯示並進行關鍵字的推測、擬定,以完成使用者帳密資訊的蒐集。

相關背景知識說明

以下針對記憶體鑑識(Memory Forensics)做概論說明,接著介紹與其相關的軟體工具,最後為記憶體資料內容搜尋的探討。

記憶體鑑識

記憶體鑑識是一門新興的鑑識科學,有許多工具可以協助萃取記憶體資料,分析可疑的人為操作內容。然而,因為記憶體的揮發性本質,讓這項技術在過去並不被重視。記憶體鑑識不僅能提供運行程式、應用程序、密碼、登錄帳號以及隱藏資料等相關訊息,就連終止程序和快取程序也囊括其中。

即時記憶體分析(Live Memory Forensics)更有助於惡意軟體的軌跡分析,為了進行即時的記憶體資料萃取,第一步是執行記憶體的記憶體傾印,將用戶的使用內容保存下來,這對將來的系統崩潰(Crash Down)檢查極有助益。在記憶體鑑識過程中,同一時間點的分析、萃取行為會因使用不同工具的關係而對記憶體造成不同的影響,因此衍生出資料正確性的相關議題。

揮發性記憶體裡的資料是流動的,難以預測資料將在記憶體裡停留多長的時間。直觀上來說,有關行程與物件的描述性資料可於實體記憶體暫存14天之多,但是沒有文獻資料能夠予以相關佐證。

研究人員已於記憶體鑑識應用不同的技術,諸如記憶體映像檔萃取、記憶體分頁摘錄等,在另一項工作中,研究人員開發了反測量工具,並將工具包分類為核心、資料庫、應用三個不同的層面。亦有研究者提供與虛擬機器相關的檔案蒐集方法,透過機器學習演算法成功地處理犯罪相關資料。此外,更有研究人員將時間分析技術帶入Windows作業系統,進行數位鑑識的犯罪調查。然而,記憶體鑑識仍舊處於起步的階段,仍有許多優化技術於動態領域尚待發展。

記憶體鑑識之工具及技術

記憶體鑑識可以廣泛地分為記憶體萃取、分析獲取資料以及證據復原三類。

記憶體萃取

欲由運行中的記憶體蒐集記憶體映像檔,並非容易的任務,恰如名稱所示,所萃取的資料是來自運行中的記憶體,所以必須非常地小心,一個很簡單的記憶體釋放(De-Allocation),就可能觸發堆疊裡的資料碎片重組。針對Windows作業系統,網路上提供各種不同的工具和技術,用於萃取揮發性記憶體裡的資料內容,而所選用的工具為FTK Imager。

這篇文章讓你覺得滿意不滿意
送出
相關文章
暗網深藏犯罪淵藪 TOR鑑識剝開洋蔥網路
MulVAL自動生成攻擊圖 安全弱點全面評估補強
數位鑑識工具仍有極限 從非技術面突破技術盲點
行動鑑識雲端硬碟跡證 還原App遺留於手機資料
監看錄影程式成洩密管道 循線偵查破解數位跡證
留言
顯示暱稱:
留言內容:
送出