网络安全取证(十四)主存储器取证

admin 2022年11月13日16:06:49评论18 views字数 2436阅读8分7秒阅读模式

关注公众号

回复“河南等保1111”获取“渗透测试指南七个阶段

了解更渗透测试规则


网络安全取证(一)定义和概念模型
网络安全取证(二)定义和概念模型之定义
网络安全取证(三)定义和概念模型之概念模型
网络安全取证(四)定义和概念模型之概念模型
网络安全取证(五)定义和概念模型之概念模型
网络安全取证(六)定义和概念模型之取证流程
网络安全取证(七)操作系统分析
网络安全取证(八)操作系统分析之存储取证
网络安全取证(九)操作系统分析之文件系统分析
网络安全取证(十)操作系统分析之存储取证
网络安全取证(十一)操作系统分析之块设备分析
网络安全取证(十二)数据恢复和文件内容雕刻
网络安全取证(十三)数据恢复和文件内容雕刻(下)

《网络安全知识体系》

网络安全取证(十四)

主存储器取证

3 主存储器取证

早期对最佳法医实践的看法是从字面上拔掉要被扣押的机器的插头。其基本原理是,这将消除任何向主机上运行的进程发出警报的可能性,并将抢先任何隐藏信息的尝试。随着时间的推移,经验表明,这些担忧在很大程度上被夸大了,重要的法医信息(如开放连接和加密密钥)的大量和不可逆转的丢失几乎没有理由。研究清楚地表明,数据往往在易失性存储器中持续很长时间。关于系统运行时状态的大量信息可以很容易地提取,甚至可以从快照中提取:

工艺信息识别和枚举所有正在运行的进程、线程和加载的系统模块是实用的;我们可以获得各个进程的代码、堆栈、堆、代码和数据段的副本。当分析受损机器时,所有这些都特别有用,因为它允许识别可疑服务、异常的父/子关系,更一般地,搜索已知的受损症状或攻击模式。

文件信息。它适用于识别任何打开的文件、共享库、共享内存和匿名映射的内存。这对于识别相关的用户操作和文件系统活动特别有用,可能会显示用户意图。

网络连接它适用于识别开放的和最近关闭的网络连接和协议信息,以及分别发送和接收尚未发送或传递的数据队列。这些信息可以很容易地用于识别相关方及其之间的通信模式。

文物和碎片就像文件系统一样,内存管理系统往往是被动的,并留下了大量工件痕迹。这主要是为了避免对系统的运行不是绝对必要的任何处理;缓存磁盘和网络数据往往会在内存中留下很长时间的痕迹。

内存分析可以在实时(运行)系统上实时执行,也可以在系统状态的快照(内存转储)上执行。除了使用专用的内存获取工具或内置快照机制(在虚拟化环境中),还可以从系统休眠文件、页面交换或崩溃转储中获取内存内容。

在实时取证中,系统上预先安装了一个可信代理(进程),用于允许通过安全通道进行远程访问。远程操作员可以完全控制受监控的系统,并可以拍摄特定进程或整个系统的快照。实况调查是常规安全预防机制的延伸,可以最大限度地控制和获取数据;它们主要用于大型企业部署。

在实时系统上工作的主要概念问题是,如果它被破坏,数据采集和分析结果就不可信;因此,取证分析最常在目标系统RAM的快照上执行。分析快照比使用实时系统要困难得多,实时系统通过各种API和数据结构提供对运行系统状态的访问。相比之下,原始内存捕获没有提供这样的设施,取证工具需要重建从头提取语义信息的能力。这是一个语义鸿沟问题,而记忆取证的目的是弥合它。

渗透测试过程中所需工具

渗透测试:信息安全测试和评估技术指南NIST  SP 800-115

苹果发布iOS  16.1 和 iPadOS 16

法国对人脸识别公司Clearview  AI处以罚款

Offensive Security渗透测试报告模板

法国对人脸识别公司Clearview  AI处以罚款

密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势

网络安全取证(十一)操作系统分析之块设备分析

国外网络安全一周回顾20221024

黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞

黑客从Olympus  DAO 窃取30 万美元,后在同一天归还

防火墙与代理服务器

WAF VS 防火墙

什么是渗透测试?

渗透测试过程中所需工具

网络安全取证(十)操作系统分析之存储取证

网络安全取证(九)操作系统分析之存储取证

网络安全取证(八)操作系统分析之存储取证

网络安全取证(七)操作系统分析

国外网络安全一周回顾20221016

网络安全取证(六)定义和概念模型之取证流程

人员离职:减轻新的内部威胁的5种方法

网络安全取证(五)定义和概念模型之概念模型

来自美国CIA的网络安全良好习惯

备份:网络和数据安全的最后一道防线

西门子不排除未来利用全球私钥进行  PLC 黑客攻击的可能性

网络安全取证(四)定义和概念模型之概念模型

网络安全取证(三)定义和概念模型之概念模型

网络安全取证(二)定义和概念模型之定义

网络安全取证(一)定义和概念模型

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑

英国情报机构军情五处被黑

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑


原文始发于微信公众号(河南等级保护测评):网络安全取证(十四)主存储器取证

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月13日16:06:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全取证(十四)主存储器取证https://cn-sec.com/archives/1406529.html

发表评论

匿名网友 填写信息