サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
デスク環境を整える
cci.cocolog-nifty.com
Currently, we have some options when analyzing memory images. Mandiant released Redline, that is the replacement of Audit Viewer. HBGary distributed Responder Community Edition at CEIC, and Volatility Framework 2.0 was released a few days ago. I tested them including my EnScript and consider their capabilities and limitations If you are a beginner about memory forensics, I recommend Redline withou
イメージのインポート画面。スワップファイルを加えた解析が可能な模様。 DKOMのような隠ぺいもきちんと見つけるので、 Tree & List TraversalとObject Fingerprint Searchを併用している? 一方でプロセスのExit Timeのカラムが無いので、既に終了したプロセスの情報は含まないようだ。 イメージ内のプロセスのFuzzy Hashを計算する機能がある。ただのハッシュ値だと全く違うバイナリのマルウェアのように見える場合があるが、こちらの値を見れば、似たような性質を持っていると判断できる。具体的にどのような性質を持っているかは、そのうちの1つを解析するしかないが。 FTKの特徴的な機能としては、メモリイメージのDiff機能がある。これで同じマシンの複数のイメージ間での差分となるプロセス情報などを抽出してくれる。EnCase Enterpriseでいうと
1. 背景 従来のメモリイメージ解析手法には仮想アドレスをオフラインで変換してデータにアクセスするTree & List Traversalと、単純に_EPROCESSオブジェクトやカーネルモジュールオブジェクトをシグネチャ検索してcarvingするObject Fingerprint Searchの2種類が存在する。 後者の手法の実装はオブジェクトの構造体の定義に従ってパースしていくだけなので実装しやすいといえる。ただし、仮想アドレスの解決が必要な場合(プロセスのVADツリーをtraverseする場合など)や、オブジェクトをサーチする安定したシグネチャが無い場合は後者の実装だけでは十分ではない。また、この手法はノイズが発生するので、前者の実装と併用して用いるのが理想的。 前者の実装では、まず以下の情報をイメージ内から発見する必要がある。 カーネルが用いるDirectory Table B
Season1同様,不揮発性データの解析で検出した5つのマルウェアのうち,タイムラインの早い順に静的解析・動的解析を行っていく. spooIsv.exe (検出日時:Dec 19 2007 03:22:57) まず,md5sumでハッシュ値を取得する.[haru@fedora8 win2nd]$ md5sum spooIsv.exe 0fcde95916fcc23ecbed1b47632cd74c spooIsv.exefileコマンドでフォーマットを判別する.[haru@fedora8 win2nd]$ file spooIsv.exe spooIsv.exe: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assemblyWindowsの一般的な実行ファイル形式であるPEフォーマット.
不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,この本は仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」
最近では,侵入したホストがVMwareであることを検出して活動を停止するマルウェアやボットソフトウェアが出現しているらしい.VMwareであることを悟らせないのは,重要なテクニックであるといえる. VMware検出方法としては,以下の方法がある. VMware toolsがインストールされているかどうか,もしくはVMware toolsのために使用しているIOポートの番号を見る. MACアドレスから検出する.VMware仮想マシンでは,00-05-69-xx-xx-xx, 00-0c-29-xx-xx-xx, 00-50-56-xx-xx-xxのいずれかを用いる. IDE, SCSI, ビデオなどのハードウェア情報を見る,etc.... 今回のハニーネットに配置するホストにはVMware toolsはインストールしないとして,攻撃側にとって最も簡易な検出方法は,MACアドレスを調べる方法で
1.準備 アンパックしたバイナリspooIsv_unpacked.exeをOllyDbgで実行させながら,ファイル・プロセス・レジストリ・ネットワークの変化を別のツールで監視する. season1での動的解析ではファイル・レジストリの変化をFileMon/RegMonで見ていたが,今回はその統合ツールであるProcess Monitorを使用する.このツールはFileMon/RegMonの機能に加えて,プロセスツリーなども表示可能. ネットワークはセッションデータは前回も使用したlsofと,新たにTCPのコネクション状態を表示するTCPViewを併用して,パケットデータをwiresharkでキャプチャする. 更にカーネルオブジェクトの管理状態を見るために,WinObjを使う. 2.spooIsv_unpacked.exeが消されるまでのプロセス 実行してしばらくの間はLoadLibrary
Computer Crime Investigation最近はEFSなどの暗号化のせいで,liveで証拠となるディスクを複製するケースが増えてきているらしい.とはいえ,効率性の観点から,電源を落としてディスクを取り外し,専用のハードウェアで複製するケースも依然あると思われる(当然,揮発性のデータはその前に集める). 電源を落とす方法として,以前読んだことのある「Hacking Exposed Computer Forensics」では,「remove the power cord from the system(p59)」,つまりプラグを抜け,と書かれている.通常のシャットダウンをしてしまうと,データの変更が起きてしまうためだと思われる. 一方,EnCE study guideのassessment testの設問では, プラグを抜くCではなく,通常のshutdown操作を行うAを答えであ
このページを最初にブックマークしてみませんか?
『cci.cocolog-nifty.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く