HowToBasic_MemeoryForensicsJohnThunder

自我介紹• 姜尚德 aka John Thunder

• UCCU 戰隊• 高應大 - 資訊工程系 - 大四

• 聯絡資訊：John@johnthunder.one

推薦書籍

Why ？ Memory forensics

How ？ Memory Acquisition Windows memory forensics

Agenda

你可以從記憶體找到以下資訊： 運行的程序 ( process ) 帳號、密碼與其他有用的資訊 Live Registry Key Malware 運行的痕跡 。。。 任何跑在 process 上的資訊

Why

對象分類CPU Cache RAM Pagefiles Storage

Live

CPU Cache RAM Pagefiles Storage

Dead

CPU Cache RAM Pagefiles Storage

Special

CPU Cache RAM Pagefiles Storage

Hibernation file

HOW

Local Acquisition to Removable Media 不可把 dump 出來的記憶體放在 C: or /root 底下，以免影響取證資料 注意不要交叉感染

Remote Acquisition 可用 psexec 遠端取證 windows( 但只支援 SMB 協定傳輸 ) 某些軟體可以用 TLS/SSL 傳輸

Runtime Interrogation 可以指定某一個記憶體區塊做取證，不用全部 dump

Hardware Acquisition 用 1394 取證 python vol.py –l firewire://forensic1394/<devno> plugin [options]

取證方法

Memory forensics Tool 簡單的 PlUGIN 、易讀的文件 只能分析 RAM Content

工具－ volatility

File Format

IA32 Virtual Address Translation

https://technet.microsoft.com/zh-tw/library/cc736309(v=ws.10).aspx

Volatility-imageinfo

To be continued