[CHFI Plus] Trong bài này, CEH VIETNAM và các thành viên lớp CHFI sẽ tìm hiểu cách chiếm bộ nhớ RAM để phân tích, có nhiều cách khác nhau để thực hiện và hãy dành chút thời gian và tìm hiểu tất cả các trường hợp khác nhau để đưa ra biện pháp khác nhau.

RAM là gì?

RAM là viết tắt của Random Access Memory (Bộ nhớ truy cập ngẫu nhiên). Còn được coi là bộ nhớ chính của máy tính, RAM rất quan trọng để máy tính có thể chạy. RAM cho phép người dùng lưu trữ tạm thời dữ liệu trong hệ thống đang sử dụng hoặc sắp sử dụng. Nhưng vì RAM dễ “bay hơi” nên tất cả dữ liệu được lưu trữ trong RAM sẽ bị mất ngay khi mất điện. RAM có thể đọc và ghi, giúp dễ dàng truy cập và thân thiện với người dùng. Tầm quan trọng của RAM là làm cho hệ thống của bạn nhanh hơn vì việc lưu trữ trong ổ cứng sẽ mất rất nhiều thời gian cũng như gây tốn kém cho hệ thống của bạn. RAM cũng hữu ích để lưu và thu thập dữ liệu từ hệ thống. Nhìn chung, bạn có thể “chém gió” rằng RAM giúp cải thiện hiệu suất của thiết bị.

Lợi ích của việc ghi lại bộ nhớ

Việc nắm bắt RAM là nhiệm vụ quan trọng vì theo thời gian, các nhà điều tra đã nhận ra rằng nhiều loại dữ kiện trong bộ nhớ dễ “bay hơi” này và nhiều bằng chứng có thể có lợi trong một cuộc điều tra nằm trong RAM . Ví dụ các thông tin trên RAM có thể cho điều tra viên biết được những ứng dụng nào đang được nghi phạm sử dụng hoặc vào thời điểm nào đó. của cuộc tấn công. Cũng có thể những kẻ tấn công từ xa sẽ có một số dữ liệu, công cụ được lưu trữ trong RAM chứ không phải trên hệ thống.

Một số công cụ có thể thực hiện công việc thu thập dữ liệu RAM

Dumpit

MoonSols Dump Nó là sự kết hợp giữa Windows 32 bit và Windows 64 bit trong một tệp thực thi, không có câu hỏi nào được đặt ra cho người dùng.

Chúng ta có thể tải xuống phần mềm Dumpit từ đây

Đây là một công cụ nhỏ gọn có thể giúp bạn dễ dàng lưu nội dung của RAM hệ thống. Đó là một tiện ích bảng điều khiển nhưng không cần mở dòng lệnh hoặc thành thạo chuyển đổi dòng lệnh máy chủ. Thay vào đó, tất cả những gì chúng ta cần làm là Chỉ một cú nhấp đúp chuột vào tệp thực thi là đủ để tạo ra một bản sao của bộ nhớ vật lý trong thư mục hiện tại.

Như chúng ta có thể thấy trong hình trên, công cụ này đã cung cấp cho chúng ta đích của hình ảnh mà ta sẽ tạo ra bằng quá trình này và hỏi có muốn tiếp tục hay không.

Nếu chúng ta muốn tiếp tục thì chúng ta phải nhấn “y”.

Sau khi hoàn tất quá trình, ứng dụng sẽ hiển thị thông báo nếu thành công

Bây giờ chúng ta có thể kiểm tra đường dẫn được đưa ra bởi phần mềm xem chúng ta có lấy được RAM hay không.

Ta có thể thấy hình ảnh RAM đã được tạo thành công.

Magnet Forensics

Magnet Forensics là một công cụ chụp ảnh bộ nhớ hoặc bộ nhớ RAM miễn phí được sử dụng để ghi lại bộ nhớ vật lý của hệ thống nghi phạm, cho phép các nhà điều tra phân tích và khôi phục các dữ kiện có giá trị chỉ được tìm thấy trong bộ nhớ của hệ thống.

Các bạn có thể tải xuống phần mềm từ đây .

Magnet Ram capture có dung lượng bộ nhớ nhỏ, có nghĩa là người điều tra có thể chạy công cụ trong khi dữ liệu được ghi đè trong bộ nhớ. Chúng ta có thể chụp dữ liệu bộ nhớ ở định dạng Raw (.DMP / .RAW / .BIN) và dễ dàng phân tích chúng.

Hình ảnh này có thể được sử dụng làm bằng chứng trong cuộc điều tra pháp y số. Một số bằng chứng có thể được tìm thấy trong RAM đang được xử lý, chương trình đang chạy trên hệ thống, kết nối mạng, bằng chứng về sự xâm nhập của phần mềm độc hại, tổ chức đăng ký, tên người dùng và mật khẩu, tệp và khóa được giải mã, v.v.

Bây giờ chúng ta có thể bắt đầu quá trình bắt Ram bằng cách thực hiện phần mềm bằng cách nhấp vào nó.

Các bạn có thể thấy hình ảnh RAM đã được tạo thành công.

Như chúng ta thấy trong hình trên, các bạn phải cung cấp tên của ảnh bộ nhớ và định dạng mà chúng ta muốn chụp ảnh bộ nhớ.

Sau khi cung cấp các thông tin chi tiết ở trên, bây giờ quá trình chụp ảnh bộ nhớ được bắt đầu, và phụ thuộc vào dung lượng bộ nhớ cần bao nhiêu thời gian để hoàn thành quá trình.

Sau khi hoàn tất quá trình sẽ hiển thị một thông báo bật lên cho biết quá trình thành công và cung cấp cho ta vị trí đường dẫn mà bộ nhớ được lưu trữ.

Bây giờ chúng ta có thể kiểm tra đường dẫn đã định vị của chúng ta xem ảnh bộ nhớ của chúng ta có được tạo hay không như chúng ta có thể thấy trong hình trên rằng ảnh của chúng ta đã được tạo thành công để có thể phân tích ảnh bộ nhớ đó.

Access data FTK imager

FTK imager có thể tạo hình ảnh bộ nhớ trực tiếp và tệp hoán đổi trang cho cả hệ thống windows 32bit và 64bit. Các bạn có thể tải xuống hình ảnh FTK và cài đặt trong hệ thống thực hành trên computer forensic lab của khóa học CHFI. Mục đích chính của việc xây dựng hình ảnh FTK là xử lý và lập chỉ mục dữ liệu từ trước và cố gắng loại bỏ thời gian lãng phí để thực hiện tìm kiếm. Bất kể chúng ta đang xử lý bao nhiêu dữ liệu khác nhau hoặc lượng dữ liệu chúng ta phải trải qua, FTK cung cấp cho chúng ta giải pháp nhanh hơn và tốt hơn bất kỳ thứ gì khác. Tải xuống tại đây hoặc đơn giãn là trích xuất từ kho công cụ của lớp học.

Bây giờ các bạn hãy khởi động phần mềm FTK imager (lưu ý là ta có thể chạy từ Helix như trong module Lab 6 hoặc dùng WinUFO như các bài trong khóa boot camp về CHFI dành cho A 86, VnCERT …

.. để bắt đầu, ta cần nhấp vào nút tệp như trong hình trên.

Sau khi nhấp vào nút tệp, màn hình của chúng ta sẽ trông như thế này. Bây giờ các bạn cần tìm kiếm nút chụp bộ nhớ và nhấp vào đó để bắt đầu quá trình chụp bộ nhớ.

Sau đó, chúng ta cần cung cấp một số thông tin liên quan đến hình ảnh đó như đường dẫn đích của hình ảnh bộ nhớ, tên tệp của hình ảnh bộ nhớ và có muốn bao gồm tệp trang và tệp AD1 của nó hay không.

Sau khi cung cấp thông tin quy trình chụp bộ nhớ bắt đầu .

Sau khi hoàn thành chương trình sẽ có thông báo “Chụp bộ nhớ đã hoàn tất thành công” và vị trí hoặc điểm đến hình ảnh bộ nhớ như memdump.mem.

… chụp ảnh bộ nhớ thành công.

Belkasoft Live RAM Capturer

Đây là một công cụ pháp y số miễn phí để trích xuất một cách đáng tin cậy tất cả nội dung của bộ nhớ dễ bay hơi của hệ thống, ngay cả khi chúng được bảo vệ bởi một số hệ thống chống gỡ lỗi tích cực. Có sẵn các bản dựng 32bit và 64bit riêng biệt để giảm thiểu dấu vết công cụ nhiều nhất có thể .

Các bản lưu bộ nhớ được chụp bằng trình chụp ram trực tiếp của Belkasoft có thể phân tích các đoạn ram trực tiếp này bằng bất kỳ phần mềm phân tích RAM nào.

Nhưng trước tiên, chúng ta cần tải xuống Belkasoft Live RAM capturer từ đây và cài đặt vào hệ thống của mình.

Sau đó, mở phần mềm này và chọn đường dẫn mà chúng ta muốn lưu hình ảnh bộ nhớ của mình và Click vào nút chụp.

Sau khi cung cấp tất cả các chi tiết, hệ thống bắt đầu tải trình điều khiển để bắt đầu quá trình chụp ảnh bộ nhớ, và hiển thị tiến trình trực tiếp tích cực của tác vụ do chúng ta đưa ra để chụp ảnh bộ nhớ.

…tiến hành .

… các bạn đã thành công trong quá trình của mình.

Đây là một số cách hoặc công cụ để ghi lại hình ảnh bộ nhớ trực tiếp để phân tích nó nhằm tìm kiếm một số bằng chứng thông qua đó, giúp ích cho việc điều tra của điều tra viên trong các vụ án của mình.

MINH – NG

Khóa Học Pháp Y Số Trực Tuyến – CHFI v9 – Dành Cho Các Bạn Muốn Trở Thành Điều Tra Viên Máy Tính

Kiến thức cần có CEH

Và cần có : $$$ để đăng kí & đóng học phí … Các bạn sẽ tiết kiệm được thời gian hơn nhiều khi tự học

CEH VIETNAM