Memory forensics - مبانی پزشکی قانونی حافظه

Hosein Khoshraftar
Hosein KhoshraftarDirector of Research and Development Team at Mosalas LTD
YOUR LOGO 1Memory Forensics Basics ‫حافظه‬ ‫قانونی‬ ‫پزشکی‬ ‫مبانی‬ ‫منفرد‬ ‫رفتار‬ ‫خوش‬ ‫حسین‬ ‫بهار‬1394
YOUR LOGO 2 ‫مقدمه‬ •‫است‬ ‫کامپیوتر‬ ‫حافظه‬ ‫از‬ ‫اطالعات‬ ‫استخراج‬ ‫و‬ ‫کشف‬ ‫معنای‬ ‫به‬. •‫حافظه‬ ،‫است‬ ‫کار‬ ‫حال‬ ‫در‬ ‫کامپیوتر‬ ‫وقتی‬RAM‫باشد‬ ‫می‬ ‫حیاتی‬ ‫و‬ ‫مهم‬ ‫اطالعات‬ ‫حاوی‬. •‫سی‬ ‫وضعیت‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫آنالیز‬ ‫سپس‬ ‫دیگر‬ ‫کامپیوتر‬ ‫به‬ ‫آن‬ ‫انتقال‬ ‫و‬ ‫حافظه‬ ‫کنونی‬ ‫وضعیت‬ ‫از‬ ‫برداری‬ ‫کپی‬ ‫با‬‫سازی‬ ‫باز‬ ‫را‬ ‫ستم‬ ‫نمود‬. •‫باشد‬ ‫ذیل‬ ‫موارد‬ ‫شامل‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫این‬: ‫است‬ ‫آنها‬ ‫از‬ ‫استفاده‬ ‫حال‬ ‫در‬ ‫کاربر‬ ‫که‬ ‫هایی‬ ‫برنامه‬. ‫کاربر‬ ‫کنونی‬ ‫شبکه‬ ‫اتصاالت‬. ‫و‬. ... •‫گ‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫سالهاست‬ ‫و‬ ‫نیست‬ ‫جدید‬ ‫تکنیک‬ ‫حافظه‬ ‫بررسی‬ ‫از‬ ‫مشخص‬ ‫اطالعات‬ ‫کشف‬ ‫و‬ ‫حافظه‬ ‫حفظ‬ ‫مفهوم‬‫یرد‬. •‫بدافزارها‬ ‫کشف‬ ‫جهت‬ ‫مراکز‬ ‫از‬ ‫بسیاری‬(‫ها‬ ‫بسته‬ ‫بازگشایی‬ ‫و‬ ‫معکوس‬ ‫مهندسی‬)‫کنند‬ ‫می‬ ‫استفاده‬ ‫تکنیک‬ ‫این‬ ‫از‬. Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info
YOUR LOGO 3 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متخصصی‬‫امنیتی‬‫که‬‫دا‬‫رای‬ ‫این‬‫مهارت‬‫هستند‬‫بسیار‬ ‫سریعتر‬‫و‬‫بهتر‬‫می‬‫توانن‬‫د‬ ‫نسبت‬‫به‬‫کشف‬‫بدافزار‬‫ها‬ ‫اقدام‬‫کنند‬
YOUR LOGO 4 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫مهاجمین‬‫بدافزارها‬‫را‬‫طوری‬‫طراحی‬‫می‬ ‫کنند‬‫تا‬‫کامال‬‫در‬‫رم‬‫اجرا‬‫شوند‬‫تا‬‫کسی‬ ‫نتواند‬‫به‬‫آن‬‫دسترسی‬‫داشته‬‫باشد‬.‫ا‬‫گر‬ ‫متخصصی‬‫امنیت‬‫حافظه‬‫را‬‫بررسی‬‫نک‬‫نند‬ ‫تقریبا‬‫شانس‬‫شناسایی‬‫بدافزار‬‫را‬‫از‬‫د‬‫ست‬ ‫می‬‫دهند‬. ‫بدافزارها‬‫کد‬‫ها‬‫و‬‫منابع‬‫مورد‬‫نیاز‬‫خود‬‫را‬‫از‬‫دید‬ ‫پنهان‬‫می‬‫کنند‬.‫اینگونه‬‫بدافزارها‬‫تنها‬‫با‬‫د‬‫یگر‬ ‫پروسس‬‫های‬‫دیگر‬‫کامپیوتر‬‫آلوده‬‫اجرا‬‫می‬‫ش‬‫وند‬. ‫پنهان‬‫سازی‬‫جهت‬‫کشف‬‫نشدن‬‫حتی‬‫در‬‫پزش‬‫کی‬ ‫قانونی‬‫نیازمند‬‫فرآیند‬‫های‬‫پیچیده‬‫تری‬‫اس‬‫ت‬‫که‬ ‫معموال‬‫پیاده‬‫سازی‬‫نمی‬‫شوند‬. ‫همانند‬‫نظریه‬‫انیشتین‬‫در‬‫دنیای‬‫واق‬،‫عی‬‫در‬ ‫کامپیوتر‬‫نیز‬‫هر‬‫عملی‬‫عکس‬‫العملی‬‫دارد‬. ‫گرچه‬‫مهاجمین‬‫می‬‫توانند‬‫با‬‫دانش‬‫کاف‬‫ی‬ ‫از‬‫سیستم‬‫عامل‬‫نسبت‬‫به‬‫پنهان‬‫ساز‬‫ی‬ ‫اطالعات‬‫اقدام‬،‫کنند‬‫اما‬‫نمی‬‫توانند‬ ‫تاثیرات‬‫جانبی‬‫فراخوانی‬‫های‬API‫را‬ ‫معدوم‬‫کنند‬.‫اگر‬‫متخصص‬‫امنیت‬‫با‬‫ای‬‫ن‬ ‫عکس‬‫العمل‬‫ها‬‫آشنا‬‫باشد‬‫می‬‫تواند‬‫نح‬‫وه‬ ‫کار‬‫بدافزار‬‫را‬‫شناسایی‬‫کند‬.
YOUR LOGO 5 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫بدس‬ ‫هستند‬ ‫آن‬ ‫حافظه‬ ‫بررسی‬ ‫حال‬ ‫در‬ ‫که‬ ‫سیستمی‬ ‫درباره‬ ‫را‬ ‫زیادی‬ ‫اطالعات‬ ‫حجم‬ ‫با‬ ‫توانند‬ ‫می‬ ‫تحلیلگرها‬‫بیاورند‬ ‫ت‬. ‫پرد‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫ازه‬ ‫است‬ ‫برقرار‬ ‫حاضر‬ ‫حال‬ ‫در‬. ‫شامل‬ ‫اطالعات‬ ‫این‬ Proccess ID،Thread ID‫آن‬ ‫پایان‬ ‫و‬ ‫شروع‬ ‫زمان‬ ‫و‬ ‫است‬ • Proccess Explorer • Task Manager
YOUR LOGO 6 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫شمارش‬DLL‫بازگذاری‬ ‫های‬ ‫همچنین‬ ‫و‬ ‫ها‬ ‫پردازه‬ ‫در‬ ‫شده‬ ،‫حافظه‬ ‫در‬ ‫ها‬ ‫آن‬ ‫آدرس‬ ‫دیس‬ ‫در‬ ‫فایل‬ ‫مسیر‬ ‫و‬ ‫اندازه‬‫ک‬ ‫سخت‬ • Process Explorer • Listdlls.exe
YOUR LOGO 7 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫پورتها‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫و‬ ‫پروتکل‬‫استفاده‬ ‫حال‬ ‫در‬ ‫ها‬ ،‫هستند‬IP،‫خارجی‬ ‫و‬ ‫داخلی‬ Process ID‫پردازه‬‫که‬ ‫ای‬ ‫می‬ ‫برقرار‬ ‫را‬ ‫سوکت‬ ‫یا‬ ‫اتصال‬‫ک‬‫ند‬. • Fport • ActivePorts • TcpView • NetStat
YOUR LOGO 8 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫ک‬ ‫ماژول‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫رنل‬ ‫همراه‬ ‫به‬ ،‫است‬ ‫شده‬ ‫بارگذاری‬ ‫آنها‬ ‫نام‬ ‫و‬ ‫اندازه‬ ، ‫پایه‬ ‫آدرس‬ • GMER • IceSword • WinDBG
YOUR LOGO 9 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متفرق‬ ‫اجرایی‬ ‫های‬ ‫فایل‬ ‫کپی‬،‫ه‬ DLL‫و‬ ‫کرنل‬ ‫درایورهای‬ ،‫ها‬..‫در‬ ‫برر‬ ‫برای‬ ‫کرنل‬ ‫یا‬ ‫کاربر‬ ‫حالت‬‫سی‬ • LordPE • Procdump • Debugger Plugins
YOUR LOGO 10 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫حافظه‬ ‫تمام‬ ‫اندازه‬ ‫و‬ ‫آدرس‬ ‫چاپ‬ ‫پردازه‬ ‫به‬ ‫یافته‬ ‫اختصاص‬ • Vmmap • OllyDbg
YOUR LOGO 11 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫کلیدهای‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫شناسایی‬ ‫کپی‬ ‫هنگام‬ ‫در‬ ‫که‬ ‫رجیستری‬ ‫باز‬ ‫پردازه‬ ‫توسط‬ ‫حافظه‬ ‫کردن‬ ‫اند‬ ‫شده‬. • Process Explorer • Handles.exe
YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ ‫ورک‬ ‫فریم‬ ‫انتخاب‬ ‫در‬ ‫مهم‬ ‫فاکتورهای‬ ‫هزینه‬ ‫زبان‬‫برنامه‬‫نویسی‬‫توسعه‬‫افزونه‬‫ها‬ ‫سیستم‬‫عامل‬‫میزبان‬ ‫قابل‬‫اطمینان‬‫بودن‬
YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ HBGary Responder
YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Mandiant Memoryze
YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Volatility •‫امنیتی‬ ‫مهندسین‬ ‫محبوب‬ ‫ورک‬ ‫فریم‬ •‫آن‬ ‫از‬ ‫استفاده‬ ‫نحوه‬ ‫بر‬ ‫دارد‬ ‫اولویت‬ ‫ابزار‬ ‫عملکرد‬ ‫نحوه‬ ‫با‬ ‫امروزآشنایی‬ •‫باشد‬ ‫می‬ ‫آسان‬ ‫آن‬ ‫عملکرد‬ ‫یادگیری‬ ،‫است‬ ‫باز‬ ‫منبع‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫که‬ ‫آنجا‬ ‫از‬ •‫شوند‬ ‫می‬ ‫آشنا‬ ‫آنالیز‬ ‫های‬ ‫روش‬ ‫انواع‬ ‫با‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫کد‬ ‫بررسی‬ ‫با‬ ‫امنیتی‬ ‫مهندسین‬ ‫از‬ ‫بسیاری‬ ‫امروزه‬
YOUR LOGO ‫حافظه‬‫استخراج‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info 16 •‫ابزار‬ ‫از‬ ‫استفاده‬ ‫با‬win32dd •‫ها‬ ‫عامل‬ ‫سیستم‬ ‫از‬ ‫وسیعی‬ ‫بازه‬ ‫از‬ ‫پشتیبانی‬ •‫محاسبه‬ ‫قابلیت‬checksum •‫شبکه‬ ‫انتقاالت‬ ‫و‬ ‫نقل‬ ‫بررسی‬ ‫جهت‬ ‫سرور‬ ‫و‬ ‫کالینت‬ ‫وضعیت‬ ‫درک‬ • F:>win32dd.exe /f mem.dmp /s 1
1 de 16

Memory forensics - مبانی پزشکی قانونی حافظه

Descargar para leer sin conexión
Ingeniería

Memory forensics - مبانی پزشکی قانونی حافظه

Hosein Khoshraftar
Hosein KhoshraftarDirector of Research and Development Team at Mosalas LTD

Recomendados

نقش فضاهای عمومی برای زنان در جهت ارتقاء اجتماع پذیری درسکونتگاه های غیر رسمی...نقش فضاهای عمومی برای زنان در جهت ارتقاء اجتماع پذیری درسکونتگاه های غیر رسمی...
نقش فضاهای عمومی برای زنان در جهت ارتقاء اجتماع پذیری درسکونتگاه های غیر رسمی...Regional Urban Upgrading Working Group (RUUWG)
508 vistas32 diapositivas
How to program with c in persianHow to program with c in persian
How to program with c in persianmoein jazemi
194 vistas114 diapositivas
Introducing to Datamining vs. OLAP - مقدمه و مقایسه ای بر داده کاوی و تحلیل ...Introducing to Datamining vs. OLAP - مقدمه و مقایسه ای بر داده کاوی و تحلیل ...
Introducing to Datamining vs. OLAP - مقدمه و مقایسه ای بر داده کاوی و تحلیل ...y-asgari
1.5K vistas36 diapositivas
جلسه اول گروه کاشانجلسه اول گروه کاشان
جلسه اول گروه کاشانm_nezadi
729 vistas24 diapositivas
workplace psychologyworkplace psychology
workplace psychologyAzaran Faza Nama Industrial Group
165 vistas12 diapositivas
The Sensors in Internet of ThingsThe Sensors in Internet of Things
The Sensors in Internet of ThingsMohammad Rasool Akhavan Sarraf
745 vistas23 diapositivas

Más contenido relacionado

Destacado

Destacado(13)

هویت حرفه‌ای در اینترنت - سمیه جلیلیهویت حرفه‌ای در اینترنت - سمیه جلیلی
هویت حرفه‌ای در اینترنت - سمیه جلیلی
somaieh jalily442 vistas
پلتفرمهای نرم افزاری و سخت افزاری پیاده سازی راهکارهای اینترنت اشیاءپلتفرمهای نرم افزاری و سخت افزاری پیاده سازی راهکارهای اینترنت اشیاء
پلتفرمهای نرم افزاری و سخت افزاری پیاده سازی راهکارهای اینترنت اشیاء
startupIoT2.1K vistas
مروی بر استارترکیتها و پلتفرمهای اینترنت اشیاءمروی بر استارترکیتها و پلتفرمهای اینترنت اشیاء
مروی بر استارترکیتها و پلتفرمهای اینترنت اشیاء
startupIoT822 vistas
طراحی و پیاده سازی سیستم کنترل هوشمند آبیاری گیاهان و باغچه (IoT) طراحی و پیاده سازی سیستم کنترل هوشمند آبیاری گیاهان و باغچه (IoT)
طراحی و پیاده سازی سیستم کنترل هوشمند آبیاری گیاهان و باغچه (IoT)
Behnaz Motavali1.4K vistas
Cloud Security and Risk ManagementCloud Security and Risk Management
Cloud Security and Risk Management
Morteza Javan671 vistas
Internet of Things - Future & Opportunities * اینترنت اشیاء - فرصتهای پیش روInternet of Things - Future & Opportunities * اینترنت اشیاء - فرصتهای پیش رو
Internet of Things - Future & Opportunities * اینترنت اشیاء - فرصتهای پیش رو
Masoud Zamani3.7K vistas
انفجار تجربه‌کاربریانفجار تجربه‌کاربری
انفجار تجربه‌کاربری
Web Standards School580 vistas
کاربردهای اینترنت اشیاء در حوزه سازمانی و صنعت کاربردهای اینترنت اشیاء در حوزه سازمانی و صنعت
کاربردهای اینترنت اشیاء در حوزه سازمانی و صنعت
startupIoT1.8K vistas
استارتاپ و حومهاستارتاپ و حومه
استارتاپ و حومه
mohammad zahedi715 vistas
استراتژی محتوااستراتژی محتوا
استراتژی محتوا
Hosseinieh Ershad Public Library442 vistas
Internet of ThingsInternet of Things
Internet of Things
Mahdi Nasseri4.4K vistas
Internet of-things-for-industriesInternet of-things-for-industries
Internet of-things-for-industries
Mahdi Nasseri3.1K vistas
Internet of ThingsInternet of Things
Internet of Things
Vala Afshar648K vistas

Similar a Memory forensics - مبانی پزشکی قانونی حافظه

security of IOTsecurity of IOT
security of IOTYashar Esmaildokht
231 vistas45 diapositivas

Similar a Memory forensics - مبانی پزشکی قانونی حافظه(20)

طرح چارچوب متن باز تولید نرم افزار طرح چارچوب متن باز تولید نرم افزار
طرح چارچوب متن باز تولید نرم افزار
عباس بني اسدي مقدم383 vistas
مهاجرت به متن باز در شرکت توزیع برق مشهدمهاجرت به متن باز در شرکت توزیع برق مشهد
مهاجرت به متن باز در شرکت توزیع برق مشهد
عباس بني اسدي مقدم577 vistas
security of IOTsecurity of IOT
security of IOT
Yashar Esmaildokht231 vistas
مفاهیم اساسی برنامه نویسی کامپیوترمفاهیم اساسی برنامه نویسی کامپیوتر
مفاهیم اساسی برنامه نویسی کامپیوتر
Hossein Zahed29 vistas
برنامه مدیریت ارتباط با مشتری مایکروسافت CRMبرنامه مدیریت ارتباط با مشتری مایکروسافت CRM
برنامه مدیریت ارتباط با مشتری مایکروسافت CRM
Javad Pourhosaini386 vistas
agil software managment by scrunm in tfsagil software managment by scrunm in tfs
agil software managment by scrunm in tfs
Reza Rahimy424 vistas
آموزش طراحی قالب های پرس به کمک نرم افزار لوگوپرسآموزش طراحی قالب های پرس به کمک نرم افزار لوگوپرس
آموزش طراحی قالب های پرس به کمک نرم افزار لوگوپرس
faradars1.6K vistas
It tools in crmIt tools in crm
It tools in crm
majid asgharizadeh373 vistas
آموزش مدیریت بانک اطلاعاتی اوراکل - بخش دومآموزش مدیریت بانک اطلاعاتی اوراکل - بخش دوم
آموزش مدیریت بانک اطلاعاتی اوراکل - بخش دوم
faradars186 vistas
04 memory traffic_fundamentals_of_parallelism_and_code_optimization-www.astek...04 memory traffic_fundamentals_of_parallelism_and_code_optimization-www.astek...
04 memory traffic_fundamentals_of_parallelism_and_code_optimization-www.astek...
aminnezarat91 vistas
رایانش ابری از دیدگاه آزادی نرم‌افزاررایانش ابری از دیدگاه آزادی نرم‌افزار
رایانش ابری از دیدگاه آزادی نرم‌افزار
Danial Behzadi486 vistas
سیستم های عامل فصل ۲سیستم های عامل فصل ۲
سیستم های عامل فصل ۲
Shayan Khaksar90 vistas
Opendata and business - داده های باز و کسب و کار Opendata and business - داده های باز و کسب و کار
Opendata and business - داده های باز و کسب و کار
efazati147 vistas
Efazati opendata slidesEfazati opendata slides
Efazati opendata slides
Hosseinieh Ershad Public Library116 vistas
مفاهیم اولیه داکرمفاهیم اولیه داکر
مفاهیم اولیه داکر
Ali Rasoulian36 vistas
FreePBX IntroductionFreePBX Introduction
FreePBX Introduction
Hossein Yavari683 vistas
What is a cpmputer.pptWhat is a cpmputer.ppt
What is a cpmputer.ppt
MurtazaAlizada21 vista
چارچوب متن باز جهت توسعه سیستم های نرم افزاریچارچوب متن باز جهت توسعه سیستم های نرم افزاری
چارچوب متن باز جهت توسعه سیستم های نرم افزاری
عباس بني اسدي مقدم439 vistas
آزادی و محرمانگی در رایانش همراهآزادی و محرمانگی در رایانش همراه
آزادی و محرمانگی در رایانش همراه
جشنوارهٔ روز آزادی نرم‌افزار تهران 481 vistas
امنیت و محرمانگی در رایانش همراهامنیت و محرمانگی در رایانش همراه
امنیت و محرمانگی در رایانش همراه
Danial Behzadi336 vistas

Memory forensics - مبانی پزشکی قانونی حافظه

  • 1. YOUR LOGO 1Memory Forensics Basics ‫حافظه‬ ‫قانونی‬ ‫پزشکی‬ ‫مبانی‬ ‫منفرد‬ ‫رفتار‬ ‫خوش‬ ‫حسین‬ ‫بهار‬1394
  • 2. YOUR LOGO 2 ‫مقدمه‬ •‫است‬ ‫کامپیوتر‬ ‫حافظه‬ ‫از‬ ‫اطالعات‬ ‫استخراج‬ ‫و‬ ‫کشف‬ ‫معنای‬ ‫به‬. •‫حافظه‬ ،‫است‬ ‫کار‬ ‫حال‬ ‫در‬ ‫کامپیوتر‬ ‫وقتی‬RAM‫باشد‬ ‫می‬ ‫حیاتی‬ ‫و‬ ‫مهم‬ ‫اطالعات‬ ‫حاوی‬. •‫سی‬ ‫وضعیت‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫آنالیز‬ ‫سپس‬ ‫دیگر‬ ‫کامپیوتر‬ ‫به‬ ‫آن‬ ‫انتقال‬ ‫و‬ ‫حافظه‬ ‫کنونی‬ ‫وضعیت‬ ‫از‬ ‫برداری‬ ‫کپی‬ ‫با‬‫سازی‬ ‫باز‬ ‫را‬ ‫ستم‬ ‫نمود‬. •‫باشد‬ ‫ذیل‬ ‫موارد‬ ‫شامل‬ ‫تواند‬ ‫می‬ ‫اطالعات‬ ‫این‬: ‫است‬ ‫آنها‬ ‫از‬ ‫استفاده‬ ‫حال‬ ‫در‬ ‫کاربر‬ ‫که‬ ‫هایی‬ ‫برنامه‬. ‫کاربر‬ ‫کنونی‬ ‫شبکه‬ ‫اتصاالت‬. ‫و‬. ... •‫گ‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫سالهاست‬ ‫و‬ ‫نیست‬ ‫جدید‬ ‫تکنیک‬ ‫حافظه‬ ‫بررسی‬ ‫از‬ ‫مشخص‬ ‫اطالعات‬ ‫کشف‬ ‫و‬ ‫حافظه‬ ‫حفظ‬ ‫مفهوم‬‫یرد‬. •‫بدافزارها‬ ‫کشف‬ ‫جهت‬ ‫مراکز‬ ‫از‬ ‫بسیاری‬(‫ها‬ ‫بسته‬ ‫بازگشایی‬ ‫و‬ ‫معکوس‬ ‫مهندسی‬)‫کنند‬ ‫می‬ ‫استفاده‬ ‫تکنیک‬ ‫این‬ ‫از‬. Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info
  • 3. YOUR LOGO 3 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متخصصی‬‫امنیتی‬‫که‬‫دا‬‫رای‬ ‫این‬‫مهارت‬‫هستند‬‫بسیار‬ ‫سریعتر‬‫و‬‫بهتر‬‫می‬‫توانن‬‫د‬ ‫نسبت‬‫به‬‫کشف‬‫بدافزار‬‫ها‬ ‫اقدام‬‫کنند‬
  • 4. YOUR LOGO 4 ‫مهم؟‬‫اینقدر‬‫چرا‬!‫؟‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫مهاجمین‬‫بدافزارها‬‫را‬‫طوری‬‫طراحی‬‫می‬ ‫کنند‬‫تا‬‫کامال‬‫در‬‫رم‬‫اجرا‬‫شوند‬‫تا‬‫کسی‬ ‫نتواند‬‫به‬‫آن‬‫دسترسی‬‫داشته‬‫باشد‬.‫ا‬‫گر‬ ‫متخصصی‬‫امنیت‬‫حافظه‬‫را‬‫بررسی‬‫نک‬‫نند‬ ‫تقریبا‬‫شانس‬‫شناسایی‬‫بدافزار‬‫را‬‫از‬‫د‬‫ست‬ ‫می‬‫دهند‬. ‫بدافزارها‬‫کد‬‫ها‬‫و‬‫منابع‬‫مورد‬‫نیاز‬‫خود‬‫را‬‫از‬‫دید‬ ‫پنهان‬‫می‬‫کنند‬.‫اینگونه‬‫بدافزارها‬‫تنها‬‫با‬‫د‬‫یگر‬ ‫پروسس‬‫های‬‫دیگر‬‫کامپیوتر‬‫آلوده‬‫اجرا‬‫می‬‫ش‬‫وند‬. ‫پنهان‬‫سازی‬‫جهت‬‫کشف‬‫نشدن‬‫حتی‬‫در‬‫پزش‬‫کی‬ ‫قانونی‬‫نیازمند‬‫فرآیند‬‫های‬‫پیچیده‬‫تری‬‫اس‬‫ت‬‫که‬ ‫معموال‬‫پیاده‬‫سازی‬‫نمی‬‫شوند‬. ‫همانند‬‫نظریه‬‫انیشتین‬‫در‬‫دنیای‬‫واق‬،‫عی‬‫در‬ ‫کامپیوتر‬‫نیز‬‫هر‬‫عملی‬‫عکس‬‫العملی‬‫دارد‬. ‫گرچه‬‫مهاجمین‬‫می‬‫توانند‬‫با‬‫دانش‬‫کاف‬‫ی‬ ‫از‬‫سیستم‬‫عامل‬‫نسبت‬‫به‬‫پنهان‬‫ساز‬‫ی‬ ‫اطالعات‬‫اقدام‬،‫کنند‬‫اما‬‫نمی‬‫توانند‬ ‫تاثیرات‬‫جانبی‬‫فراخوانی‬‫های‬API‫را‬ ‫معدوم‬‫کنند‬.‫اگر‬‫متخصص‬‫امنیت‬‫با‬‫ای‬‫ن‬ ‫عکس‬‫العمل‬‫ها‬‫آشنا‬‫باشد‬‫می‬‫تواند‬‫نح‬‫وه‬ ‫کار‬‫بدافزار‬‫را‬‫شناسایی‬‫کند‬.
  • 5. YOUR LOGO 5 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫بدس‬ ‫هستند‬ ‫آن‬ ‫حافظه‬ ‫بررسی‬ ‫حال‬ ‫در‬ ‫که‬ ‫سیستمی‬ ‫درباره‬ ‫را‬ ‫زیادی‬ ‫اطالعات‬ ‫حجم‬ ‫با‬ ‫توانند‬ ‫می‬ ‫تحلیلگرها‬‫بیاورند‬ ‫ت‬. ‫پرد‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫ازه‬ ‫است‬ ‫برقرار‬ ‫حاضر‬ ‫حال‬ ‫در‬. ‫شامل‬ ‫اطالعات‬ ‫این‬ Proccess ID،Thread ID‫آن‬ ‫پایان‬ ‫و‬ ‫شروع‬ ‫زمان‬ ‫و‬ ‫است‬ • Proccess Explorer • Task Manager
  • 6. YOUR LOGO 6 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫شمارش‬DLL‫بازگذاری‬ ‫های‬ ‫همچنین‬ ‫و‬ ‫ها‬ ‫پردازه‬ ‫در‬ ‫شده‬ ،‫حافظه‬ ‫در‬ ‫ها‬ ‫آن‬ ‫آدرس‬ ‫دیس‬ ‫در‬ ‫فایل‬ ‫مسیر‬ ‫و‬ ‫اندازه‬‫ک‬ ‫سخت‬ • Process Explorer • Listdlls.exe
  • 7. YOUR LOGO 7 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫پورتها‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫و‬ ‫پروتکل‬‫استفاده‬ ‫حال‬ ‫در‬ ‫ها‬ ،‫هستند‬IP،‫خارجی‬ ‫و‬ ‫داخلی‬ Process ID‫پردازه‬‫که‬ ‫ای‬ ‫می‬ ‫برقرار‬ ‫را‬ ‫سوکت‬ ‫یا‬ ‫اتصال‬‫ک‬‫ند‬. • Fport • ActivePorts • TcpView • NetStat
  • 8. YOUR LOGO 8 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫ک‬ ‫ماژول‬ ‫کدام‬ ‫اینکه‬ ‫شناسایی‬‫رنل‬ ‫همراه‬ ‫به‬ ،‫است‬ ‫شده‬ ‫بارگذاری‬ ‫آنها‬ ‫نام‬ ‫و‬ ‫اندازه‬ ، ‫پایه‬ ‫آدرس‬ • GMER • IceSword • WinDBG
  • 9. YOUR LOGO 9 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫متفرق‬ ‫اجرایی‬ ‫های‬ ‫فایل‬ ‫کپی‬،‫ه‬ DLL‫و‬ ‫کرنل‬ ‫درایورهای‬ ،‫ها‬..‫در‬ ‫برر‬ ‫برای‬ ‫کرنل‬ ‫یا‬ ‫کاربر‬ ‫حالت‬‫سی‬ • LordPE • Procdump • Debugger Plugins
  • 10. YOUR LOGO 10 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫حافظه‬ ‫تمام‬ ‫اندازه‬ ‫و‬ ‫آدرس‬ ‫چاپ‬ ‫پردازه‬ ‫به‬ ‫یافته‬ ‫اختصاص‬ • Vmmap • OllyDbg
  • 11. YOUR LOGO 11 ‫ها‬‫قابلیت‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info ‫کلیدهای‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫شناسایی‬ ‫کپی‬ ‫هنگام‬ ‫در‬ ‫که‬ ‫رجیستری‬ ‫باز‬ ‫پردازه‬ ‫توسط‬ ‫حافظه‬ ‫کردن‬ ‫اند‬ ‫شده‬. • Process Explorer • Handles.exe
  • 12. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ ‫ورک‬ ‫فریم‬ ‫انتخاب‬ ‫در‬ ‫مهم‬ ‫فاکتورهای‬ ‫هزینه‬ ‫زبان‬‫برنامه‬‫نویسی‬‫توسعه‬‫افزونه‬‫ها‬ ‫سیستم‬‫عامل‬‫میزبان‬ ‫قابل‬‫اطمینان‬‫بودن‬
  • 13. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ HBGary Responder
  • 14. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Mandiant Memoryze
  • 15. YOUR LOGO ‫حافظه‬ ‫آنالیز‬ ‫های‬ ‫ورک‬ ‫فریم‬ Volatility •‫امنیتی‬ ‫مهندسین‬ ‫محبوب‬ ‫ورک‬ ‫فریم‬ •‫آن‬ ‫از‬ ‫استفاده‬ ‫نحوه‬ ‫بر‬ ‫دارد‬ ‫اولویت‬ ‫ابزار‬ ‫عملکرد‬ ‫نحوه‬ ‫با‬ ‫امروزآشنایی‬ •‫باشد‬ ‫می‬ ‫آسان‬ ‫آن‬ ‫عملکرد‬ ‫یادگیری‬ ،‫است‬ ‫باز‬ ‫منبع‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫که‬ ‫آنجا‬ ‫از‬ •‫شوند‬ ‫می‬ ‫آشنا‬ ‫آنالیز‬ ‫های‬ ‫روش‬ ‫انواع‬ ‫با‬ ‫ورک‬ ‫فریم‬ ‫این‬ ‫کد‬ ‫بررسی‬ ‫با‬ ‫امنیتی‬ ‫مهندسین‬ ‫از‬ ‫بسیاری‬ ‫امروزه‬
  • 16. YOUR LOGO ‫حافظه‬‫استخراج‬ Khoshraftar.info Phone: +98 (912) 9329989 info@khoshraftar.info 16 •‫ابزار‬ ‫از‬ ‫استفاده‬ ‫با‬win32dd •‫ها‬ ‫عامل‬ ‫سیستم‬ ‫از‬ ‫وسیعی‬ ‫بازه‬ ‫از‬ ‫پشتیبانی‬ •‫محاسبه‬ ‫قابلیت‬checksum •‫شبکه‬ ‫انتقاالت‬ ‫و‬ ‫نقل‬ ‫بررسی‬ ‫جهت‬ ‫سرور‬ ‫و‬ ‫کالینت‬ ‫وضعیت‬ ‫درک‬ • F:>win32dd.exe /f mem.dmp /s 1