Advances in memory forensics - TEL - Thèses en ligne
[go: up one dir, main page]
More Web Proxy on the site http://driver.im/
Thèse Année : 2019
Advances in memory forensics Progrés dans l'investigation forensique de la mémoire volatile
1 Eurecom [Sophia Antipolis] (Campus SophiaTech, 450 Route des Chappes, CS 50193 - 06904 Biot Sophia Antipolis cedex - France)
"> Eurecom [Sophia Antipolis]

Résumé

The adoption of memory forensics - the art of extracting artifacts from the volatile memory of a compromised system - is spreading in cyber-security investigations. The main reason of this enthusiasm comes from the fact that many artifacts can not be found elsewhere. In this way, the forensics analysts can gain the big picture over a malicious behavior. Nevertheless, memory forensics is less than two decades old: many challenges are unsolved and many questions are unanswered. This thesis gives a new perspective over three of these problems. The first contribution studies the effects non-atomic acquisition methods. The root cause of this problem is quite straightforward to explain: while the memory is acquired, user and kernel processes are running and therefore modifying the content of the memory. For this reason, the resulting memory dump does not represent the state of the memory in a given point in time, but rather a mix of multiple points. The second contribution focus on automatically extracting a forensics profile from a memory dump. Having a valid profile is a strong requirement for memory analysis because without one any structured memory forensics technique can be applied. Therefore, this problem effectively prevents memory forensics to be applied in those scenarios where creating a profile is harder -- if not impossible. The third and last contribution of this thesis aims to change how forensics rules, better known as plugins, are created. Nowadays, these rules are manually written by kernel experts and forensics practitioners. Unfortunately, this manual approach does not have any guarantee on the quality or on the uniqueness of these rules.
L'adoption de la memory forensics - l'art d'extraire artefacts de la mémoire volatile d'un système compromis - est propagation dans les enquêtes de cybersécurité. De cette façon, les analystes en memory forensics peuvent gagner la grande image sur un comportement malveillant. Néanmoins, memory forensics a moins de deux décennies: de nombreux défis sont non résolus. Cette thèse donne une nouvelle perspective sur trois de ces problèmes. La première contribution étudie les effets non atomiques méthodes d'acquisition. La cause première de ce problème est que pendant la mémoire est acquise, l'utilisateur et les processus du noyau sont en cours d’exécution et modifient donc le contenu de la mémoire. Pour cette raison, la mémoire résultante le vidage ne représente pas l'état de la mémoire en un point donné dans le temps, mais plutôt un mélange de plusieurs points. La deuxième contribution se concentre sur l'extraction automatique d'un profil de forensics à partir d'un vidage de la mémoire. Avoir un profil valide est une exigence forte pour l'analyse de la mémoire, car sans aucun technique de forensics de la mémoire structurée peut être appliquée. Donc, ce problème empêche efficacement l'application de l'investigation judiciaire sur la mémoire dans les scénarios où la création d'un profil est plus difficile. La troisième et dernière contribution de cette thèse vise à changer la manière dont les règles de forensics, mieux connues sous le nom de plugins, sont créées. De nos jours, ces règles sont écrites manuellement par le noyau experts et praticiens de memory forensics. Malheureusement, cette approche n’a aucune garantie sur la qualité ni sur le l'unicité de ces règles.
Fichier principal
Vignette du fichier
PAGANI_Fabio_2019.pdf (5.42 Mo) Télécharger le fichier
Origine Version validée par le jury (STAR)

Dates et versions

tel-03140355 , version 1 (12-02-2021)
Identifiants
  • HAL Id : tel-03140355 , version 1

Citer

Fabio Pagani. Advances in memory forensics. Performance [cs.PF]. Sorbonne Université, 2019. English. ⟨NNT : 2019SORUS299⟩. ⟨tel-03140355⟩
439 Consultations
846 Téléchargements

Partager

More