BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ****** ĐỒ ÁN TỐT NGHIỆP Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp Chuyên ngành: An toàn thông tin Gv hướng dẫn: Th.s Vũ Đình Thu Sv thực hiện: Lê Công Phú Hà Nội, 06/2013 1 NỘI DUNG  ĐẶT VẤN ĐỀ  MỤC TIÊU CỦA ĐỒ ÁN  CÁC NỘI DUNG THỰC HIỆN  KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN 2 MỤC TIÊU CỦA ĐỒ ÁN 3 Mục tiêu  Hiểu được tầm quan trọng của chứng cứ số.  Nắm bắt được kiến thức nền tảng cần có khi điều tra phân tích bộ nhớ.  Nắm bắt được quy trình phân tích chứng cứ số  Kỹ thuật hiện đang được các chuyên gia phân tích chứng cứ số sử dụng.  Ứng dụng kỹ thuật điều tra và phân tích bộ nhớ vào thực tế để giải quyết sự cố an toàn thông tin khi một hệ thống bị thỏa hiệp. 4 CÁC NỘI DUNG THỰC HIỆN 5 Các nội dung thực hiện  Tổng quan về phân tích điều tra số  Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ  Quy trình và cách thức thực hiện phân tích điều tra bộ nhớ  Ứng dụng phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp  DEMO 6 Tổng quan về phân tích điều tra số 7 Tổng quan về phân tích điều tra số  Khái niệm Điều tra số là ngành khoa học máy tính bao gồm việc điều tra và phục hồi các dữ liệu tìm thấy trong các thiết bị kỹ thuật số để tìm kiếm các chứng cứ số liên quan đến tội phạm công nghệ cao.  Ứng dụng của điều tra số o Về mặt kỹ thuật:  Điều tra số giúp cho tổ chức xác định các vấn đề liên quan đến an toàn thông tin xảy ra đối với hệ thống của họ, qua đó xác định được các điểm yếu để khắc phục, kiện toàn. o Về mặt pháp lý:  Điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm pháp. 8 Tổng quan về phân tích điều tra số (cont…)  Quy trình thực hiện điều tra số o Tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật o Tiến hành phân tích o Báo cáo kết quả điều tra được.  Các loại hình điều tra số phổ biến o Điều tra máy tính  Điều tra bộ nhớ  Điều tra tập tin hệ thống  Phân tích điều tra Registry o Điều tra mạng o Điều tra thiết bị di động 9 Phân ch điều tra bộ nhớ và nền tảng kỹ thuật cho phân ch điều tra bộ nhớ 10 [...]... tả hệ thống Thu thập chứng cứ Thiết lập mốc thời gian và phân tích Lập báo cáo 16 Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…)  Công cụ sử dụng trong phân tích dữ liệu từ bộ nhớ khả biến o Những công cụ cơ bản o Volatility o DFF – Digital Forensics Framework o TheSleuth kit và Autopsy o Mandiant Realine o SANS Investigate Forensics Toolkit (SIFT) Workstation 17 Ứng dụng của phân tích điều... Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp  Trong phân tích điều tra hệ thống bị thỏa hiệp thì Memory Forensics có thể xác định o Những tiến trình đang chạy trên hệ thống bị thỏa hiệp tại thời điểm hình ảnh bộ nhớ được “chụp lại”, bao gồm các tiến trình ẩn o Các kết nối ra vào hệ thống o Xác định các Modules dll, các tập tin khả nghi o Các địa chỉ URLs đáng... o Các khóa mật mã 19 Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp (cont…) o Xác định được các tập tin đang mở có liên quan tới một tiến trình nào đó o Xác định được bất kỳ chuỗi nghi ngờ liên quan đến một tiến trình cụ thể o Có thể trích xuất các tập tin độc hại từ bộ nhớ và phân tích nó o Có thể khôi phục lại các tập tin đã bị xóa 20 Ứng dụng của phân tích điều... Khái niệm o Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống thời điểm có dấu hiệu nghi ngờ, hoặc đang bị tấn công để tiến hành điều tra, giúp cho việc xác định nguyên nhân cũng như các hành vi đã xảy ra trên hệ thống Vai trò o Giúp xác định nhanh nguyên nhân hệ thống bị tấn công, cũng như các kỹ o thuật mà kẻ tấn công đã sử dụng từ đó có... công, cũng như các kỹ o thuật mà kẻ tấn công đã sử dụng từ đó có thể khắc phục và giảm thiểu thiệt hại gây ra đối với các tổ chức khi mà hệ thống của họ đã bị thỏa hiệp Cung cấp cho cơ quan pháp lý các chứng cứ thuyết phục về mặt công nghệ cao để xử lý tội phạm theo quy định của pháp luật 11 Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ (cont…) Tại  sao lại phải phân tích... thấy trong bộ nhớ khả biến Các  tiến trình và các tập tin đang mở Mã  độc Các  kết nối mạng, các sockets, URLs, địa chỉ IP Nội  dung người dùng tạo ra Mật  khẩu và các khóa mật mã Cấu  hình phần cứng và phần mềm Các  khóa Registry trong windows và các nhật ký sự kiện …  Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ (cont…)  Nền tảng kỹ thuật cho phân tích điều... nhớ ảo theo cấu trúc phân trang  Quản lý bộ nhớ vật lý o Kỹ thuật phân tích mã độc  Phân tích động  Phân tích tĩnh o Các kỹ thuật tấn công hệ thống máy tính  Khai thác lỗ hổng phần mềm  Tấn công sử dụng mã độc  Một số kỹ thuật khác 13 Quy trình và cách thức thực hiện điều tra bộ nhớ 14 Quy trình và cách thức thực hiện điều tra bộ nhớ  Môi trường phân tích điều tra bộ nhớ o o o Phân tích điều tra . BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ****** ĐỒ ÁN TỐT NGHIỆP Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp Chuyên ngành: An. DUNG  ĐẶT VẤN ĐỀ  MỤC TIÊU CỦA ĐỒ ÁN  CÁC NỘI DUNG THỰC HIỆN  KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN 2 MỤC TIÊU CỦA ĐỒ ÁN 3 Mục tiêu  Hiểu được tầm quan trọng của chứng cứ số.  Nắm bắt được kiến. phân tích bộ nhớ.  Nắm bắt được quy trình phân tích chứng cứ số  Kỹ thuật hiện đang được các chuyên gia phân tích chứng cứ số sử dụng.  Ứng dụng kỹ thuật điều tra và phân tích bộ nhớ vào thực