Как обнаружить вредонос: методология SANS

Все блоги / Про интернет 30 июня 2021 191

Когда происходит взлом какой-то системы, зачастую возникает необходимость выяснить, как система была взломана, какие компоненты были скомпрометированы, какая информация была похищена, и кто произвел атаку. Ветвь криминалистики, отвечающая на вопросы такого рода, называется компьютерной криминалистикой или форензикой.

Одна из важнейших техник форензики – анализ дампов памяти, сделанных на потенциально скомпрометированных системах. Дамп памяти – это файл, содержащий данные из оперативной памяти компьютера, в том числе данные запущенных процессов. Именно поэтому их анализ так важен: если система была скомпрометирована, и на ней запущено вредоносное программное обеспечение, эксперт по компьютерной криминалистике сможет обнаружить это, изучая дамп.

Существует множество инструментов для анализа дампов памяти, наиболее популярные из которых – фреймворки volatility и rekall, оба с открытым исходным кодом. Однако самих по себе инструментов может оказаться недостаточно: исследователю полезно иметь алгоритм, который помогал бы действовать эффективно, систематично и не упускать важные детали. Один такой алгоритм под названием SANS Six-Step Investigative Methodology был предложен институтом SANS.

SANS Six-Step Investigative Methodology

Описание методологии SANS Six-Step можно найти на одном из постеров SANS.

Алгоритм, как следует из названия, состоит из шести шагов.

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Disk forensics, memory forensics и log forensics. Volatility framework и Autopsy. Решение задач с r0от-мi. Часть 1

Данная статья содержит решений заданий, направленных на криминалистику памяти, оперативной памяти, и логов web-сервера. А также примеры использования программ Volatility Framework и Autopsy. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер

подробнее »

30 сентября 2019

[Из песочницы] Разбор Memory Forensics с OtterCTF и знакомство с фреймворком Volatility

Привет, Хабр! Недавно закончился OtterCTF (для интересующихся — ссылка на ctftime), который в этом году меня, как человека, достаточно плотно связанного с железом откровенно порадовал — была отдельная категория Memory Forensics, которая, по сути, представляла из себя анализ дампа оперативной

подробнее »

15 декабря 2018

Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона

подробнее »

10 июня 2019

[Из песочницы] Система получения копии памяти в устройствах под управлением Android через беспроводные каналы связи

Введение Мобильные устройства — смартфоны, планшеты и прочие мобильные устройства — становятся неотъемлемой частью жизни людей. Почти у 67% людей в мире есть хотя бы один смартфон; к 2025 году прогнозируется 5,8 миллиардов активных мобильных устройств [1]. По данным IDC [2], среди всех проданных в

подробнее »

29 октября 2019

Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД

Еще одна печальная новость из мира Heartbleed, о которой стало известно вчера. Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время

подробнее »

16 апреля 2014

8 лучших платформ для интернет-магазина с открытым исходным кодом

Когда речь идет о лучших платформах для электронной коммерции с открытым исходным кодом, существует много вариантов. Вот список некоторых из наиболее популярных платформ для электронной коммерции с открытым исходным кодом, с помощью которых вы можете открыть свой интернет-магазин. Рубрика: CMS и

подробнее »

11 мая 2014