Memory forensics - مبانی پزشکی قانونی حافظه

50 %
50 %
Information about Memory forensics - مبانی پزشکی قانونی حافظه

Published on January 9, 2016

Author: hoseinquest

Source: slideshare.net

1. YOUR LOGO 1Memory Forensics Basics ‫حافظه‬ ‫قانونی‬ ‫پزشکی‬ ‫مبانی‬ ‫منفرد‬ ‫رفتار‬ ‫خوش‬ ‫حسین‬ ‫بهار‬1394

2. YOUR LOGO 2 ‫مقدمه‬ •‫است‬ ‫کامپیوتر‬ ‫حافظه‬ ‫از‬ ‫اطالعات‬ ‫استخراج‬ ‫و‬ ‫کشف‬ ‫معنای‬ ‫به‬. •‫حافظه‬ ،‫است‬ ‫کار‬ ‫حال‬ ‫در‬ ‫کامپیوتر‬ ‫وقتی‬RAM‫باشد‬ ‫می‬ ‫حیاتی‬ ‫و‬ ‫مهم‬ ‫اطالعات‬ ‫حاوی‬. •‫سی‬ ‫وضعیت‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫آنالیز‬ ‫سپس‬ ‫دیگر‬ ‫کامپیوتر‬ ‫به‬ ‫آن‬ ‫انتقال‬ ‫و‬ ‫حافظه‬ ‫کنونی‬ ‫وضعیت‬ ‫از‬ ‫برداری‬ ‫کپی‬ ‫با‬‫سازی‬ ‫باز‬ ‫را‬ ‫ستم‬ ‫نمود‬. •‫باشد‬ ‫ذیل‬ ‫موارد‬ ‫شامل‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫این‬: ‫است‬ ‫آنها‬ ‫از‬ ‫استفاده‬ ‫حال‬ ‫در‬ ‫کاربر‬ ‫که‬ ‫هایی‬ ‫برنامه‬. ‫کاربر‬ ‫کنونی‬ ‫شبکه‬ ‫اتصاالت‬. ‫و‬. ... •‫گ‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫سالهاست‬ ‫و‬ ‫نیست‬ ‫جدید‬ ‫تکنیک‬ ‫حافظه‬ ‫بررسی‬ ‫از‬ ‫مشخص‬ ‫اطالعات‬ ‫کشف‬ ‫و‬ ‫حافظه‬ ‫حفظ‬ ‫مفهوم‬‫یرد‬. •‫بدافزارها‬ ‫کشف‬ ‫جهت‬ ‫مراکز‬ ‫از‬ ‫بسیاری‬(‫ها‬ ‫بسته‬ ‫بازگشایی‬ ‫و‬ ‫معکوس‬ ‫مهندسی‬)‫کنند‬ ‫می‬ ‫استفاده‬ ‫تکنیک‬ ‫این‬ ‫از‬. Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info

3. YOUR LOGO 3 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متخصصی‬‫امنیتی‬‫که‬‫دا‬‫رای‬ ‫این‬‫مهارت‬‫هستند‬‫بسیار‬ ‫سریعتر‬‫و‬‫بهتر‬‫می‬‫توانن‬‫د‬ ‫نسبت‬‫به‬‫کشف‬‫بدافزار‬‫ها‬ ‫اقدام‬‫کنند‬

4. YOUR LOGO 4 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫مهاجمین‬‫بدافزارها‬‫را‬‫طوری‬‫طراحی‬‫می‬ ‫کنند‬‫تا‬‫کامال‬‫در‬‫رم‬‫اجرا‬‫شوند‬‫تا‬‫کسی‬ ‫نتواند‬‫به‬‫آن‬‫دسترسی‬‫داشته‬‫باشد‬.‫ا‬‫گر‬ ‫متخصصی‬‫امنیت‬‫حافظه‬‫را‬‫بررسی‬‫نک‬‫نند‬ ‫تقریبا‬‫شانس‬‫شناسایی‬‫بدافزار‬‫را‬‫از‬‫د‬‫ست‬ ‫می‬‫دهند‬. ‫بدافزارها‬‫کد‬‫ها‬‫و‬‫منابع‬‫مورد‬‫نیاز‬‫خود‬‫را‬‫از‬‫دید‬ ‫پنهان‬‫می‬‫کنند‬.‫اینگونه‬‫بدافزارها‬‫تنها‬‫با‬‫د‬‫یگر‬ ‫پروسس‬‫های‬‫دیگر‬‫کامپیوتر‬‫آلوده‬‫اجرا‬‫می‬‫ش‬‫وند‬. ‫پنهان‬‫سازی‬‫جهت‬‫کشف‬‫نشدن‬‫حتی‬‫در‬‫پزش‬‫کی‬ ‫قانونی‬‫نیازمند‬‫فرآیند‬‫های‬‫پیچیده‬‫تری‬‫اس‬‫ت‬‫که‬ ‫معموال‬‫پیاده‬‫سازی‬‫نمی‬‫شوند‬. ‫همانند‬‫نظریه‬‫انیشتین‬‫در‬‫دنیای‬‫واق‬،‫عی‬‫در‬ ‫کامپیوتر‬‫نیز‬‫هر‬‫عملی‬‫عکس‬‫العملی‬‫دارد‬. ‫گرچه‬‫مهاجمین‬‫می‬‫توانند‬‫با‬‫دانش‬‫کاف‬‫ی‬ ‫از‬‫سیستم‬‫عامل‬‫نسبت‬‫به‬‫پنهان‬‫ساز‬‫ی‬ ‫اطالعات‬‫اقدام‬،‫کنند‬‫اما‬‫نمی‬‫توانند‬ ‫تاثیرات‬‫جانبی‬‫فراخوانی‬‫های‬API‫را‬ ‫معدوم‬‫کنند‬.‫اگر‬‫متخصص‬‫امنیت‬‫با‬‫ای‬‫ن‬ ‫عکس‬‫العمل‬‫ها‬‫آشنا‬‫باشد‬‫می‬‫تواند‬‫نح‬‫وه‬ ‫کار‬‫بدافزار‬‫را‬‫شناسایی‬‫کند‬.

5. YOUR LOGO 5 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫بدس‬ ‫هستند‬ ‫آن‬ ‫حافظه‬ ‫بررسی‬ ‫حال‬ ‫در‬ ‫که‬ ‫سیستمی‬ ‫درباره‬ ‫را‬ ‫زیادی‬ ‫اطالعات‬ ‫حجم‬ ‫با‬ ‫توانند‬ ‫می‬ ‫تحلیلگرها‬‫بیاورند‬ ‫ت‬. ‫پرد‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫ازه‬ ‫است‬ ‫برقرار‬ ‫حاضر‬ ‫حال‬ ‫در‬. ‫شامل‬ ‫اطالعات‬ ‫این‬ Proccess ID،Thread ID‫آن‬ ‫پایان‬ ‫و‬ ‫شروع‬ ‫زمان‬ ‫و‬ ‫است‬ • Proccess Explorer • Task Manager

6. YOUR LOGO 6 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫شمارش‬DLL‫بازگذاری‬ ‫های‬ ‫همچنین‬ ‫و‬ ‫ها‬ ‫پردازه‬ ‫در‬ ‫شده‬ ،‫حافظه‬ ‫در‬ ‫ها‬ ‫آن‬ ‫آدرس‬ ‫دیس‬ ‫در‬ ‫فایل‬ ‫مسیر‬ ‫و‬ ‫اندازه‬‫ک‬ ‫سخت‬ • Process Explorer • Listdlls.exe

7. YOUR LOGO 7 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫پورتها‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫و‬ ‫پروتکل‬‫استفاده‬ ‫حال‬ ‫در‬ ‫ها‬ ،‫هستند‬IP،‫خارجی‬ ‫و‬ ‫داخلی‬ Process ID‫پردازه‬‫که‬ ‫ای‬ ‫می‬ ‫برقرار‬ ‫را‬ ‫سوکت‬ ‫یا‬ ‫اتصال‬‫ک‬‫ند‬. • Fport • ActivePorts • TcpView • NetStat

8. YOUR LOGO 8 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫ک‬ ‫ماژول‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫رنل‬ ‫همراه‬ ‫به‬ ،‫است‬ ‫شده‬ ‫بارگذاری‬ ‫آنها‬ ‫نام‬ ‫و‬ ‫اندازه‬ ، ‫پایه‬ ‫آدرس‬ • GMER • IceSword • WinDBG

9. YOUR LOGO 9 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متفرق‬ ‫اجرایی‬ ‫های‬ ‫فایل‬ ‫کپی‬،‫ه‬ DLL‫و‬ ‫کرنل‬ ‫درایورهای‬ ،‫ها‬..‫در‬ ‫برر‬ ‫برای‬ ‫کرنل‬ ‫یا‬ ‫کاربر‬ ‫حالت‬‫سی‬ • LordPE • Procdump • Debugger Plugins

10. YOUR LOGO 10 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫حافظه‬ ‫تمام‬ ‫اندازه‬ ‫و‬ ‫آدرس‬ ‫چاپ‬ ‫پردازه‬ ‫به‬ ‫یافته‬ ‫اختصاص‬ • Vmmap • OllyDbg

11. YOUR LOGO 11 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫کلیدهای‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫شناسایی‬ ‫کپی‬ ‫هنگام‬ ‫در‬ ‫که‬ ‫رجیستری‬ ‫باز‬ ‫پردازه‬ ‫توسط‬ ‫حافظه‬ ‫کردن‬ ‫اند‬ ‫شده‬. • Process Explorer • Handles.exe

12. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ ‫ورک‬ ‫فریم‬ ‫انتخاب‬ ‫در‬ ‫مهم‬ ‫فاکتورهای‬ ‫هزینه‬ ‫زبان‬‫برنامه‬‫نویسی‬‫توسعه‬‫افزونه‬‫ها‬ ‫سیستم‬‫عامل‬‫میزبان‬ ‫قابل‬‫اطمینان‬‫بودن‬

13. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ HBGary Responder

14. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Mandiant Memoryze

15. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Volatility •‫امنیتی‬ ‫مهندسین‬ ‫محبوب‬ ‫ورک‬ ‫فریم‬ •‫آن‬ ‫از‬ ‫استفاده‬ ‫نحوه‬ ‫بر‬ ‫دارد‬ ‫اولویت‬ ‫ابزار‬ ‫عملکرد‬ ‫نحوه‬ ‫با‬ ‫امروزآشنایی‬ •‫باشد‬ ‫می‬ ‫آسان‬ ‫آن‬ ‫عملکرد‬ ‫یادگیری‬ ،‫است‬ ‫باز‬ ‫منبع‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫که‬ ‫آنجا‬ ‫از‬ •‫شوند‬ ‫می‬ ‫آشنا‬ ‫آنالیز‬ ‫های‬ ‫روش‬ ‫انواع‬ ‫با‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫کد‬ ‫بررسی‬ ‫با‬ ‫امنیتی‬ ‫مهندسین‬ ‫از‬ ‫بسیاری‬ ‫امروزه‬

16. YOUR LOGO ‫حافظه‬‫استخراج‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info 16 •‫ابزار‬ ‫از‬ ‫استفاده‬ ‫با‬win32dd •‫ها‬ ‫عامل‬ ‫سیستم‬ ‫از‬ ‫وسیعی‬ ‫بازه‬ ‫از‬ ‫پشتیبانی‬ •‫محاسبه‬ ‫قابلیت‬checksum •‫شبکه‬ ‫انتقاالت‬ ‫و‬ ‫نقل‬ ‫بررسی‬ ‫جهت‬ ‫سرور‬ ‫و‬ ‫کالینت‬ ‫وضعیت‬ ‫درک‬ • F:>win32dd.exe /f mem.dmp /s 1

Add a comment

Related pages

دانلود مقاله ISI اثر بدافزار-GPU ...

... اثر بدافزار-GPU کمک در پزشکی قانونی حافظه: ... The impact of GPU-assisted malware on memory forensics: A case study.
Read more

پزشکی قانونی - کتاب دانلود

دانلود کتاب مبانی آنالیز مستند پزشکی ... Advances in Digital Forensics ... تحلیل پزشکی قانونی شواهد ...
Read more

Malware Memory Forensics

Malware Memory Forensics JANUARY 1, 2013 ... Memory شاطبا ضا ٸذاٝتؼا اب 19281..818155 IP ٹّٜاح ضا ٿتٱؽ٠ ٲذشٶآ ...
Read more

مبانی اوليه حافظه - صفحه اصلي ...

حافظه. حافظه با ... Flash Memory; Virtual Memory; Video ... مبانی اوليه حافظه
Read more

آشنایی با سازمان پزشکی قانونی ...

پزشکی قانونی و زیرشاخه‌های ... و سلامت و توسعه مبانی علمی ... ملی حافظه ...
Read more

دانلود کتاب پیشرفت ها در پزشکی ...

Digital forensics deals with ... دانلود کتاب پیشرفت ها در پزشکی قانونی ... مبانی آنالیز مستند پزشکی ...
Read more

عملکرد بستری در بخش روانپزشکی ...

عملکرد بستری در بخش روانپزشکی بزرگسالان قانونی و ... Performance of forensic and ... پزشکی قانونی ...
Read more

PDF مقاله انواع حافظه - آگهی ...

... انواع حافظه,مبانی حافظه های ROM,حافظه PROM,حافظه EPROM,حافظه های EEPROM و Flash Memory ... پزشکی ...
Read more