Pháp y kỹ thuật số: Phần 5 - Memory Forensics

Trước hết, Quản Trị Mạng xin được nhắc lại rằng loạt bài về Pháp y Kỹ thuật số được chúng tôi tổng hợp lại từ diễn đàn WhiteHat.vn. Các bạn có thể tham khảo thêm các bài trước trong phần link ở bên dưới.

Trong bài này, chúng ta sẽ cùng tìm hiểu về kỹ thuật Memory Forensics.

I. Giới thiệu

Trong bài viết này, chúng ta đề cập đến Memory Forensics, đây cũng là một mảng quan trọng và cũng rất thú vị của Forensics .Đối tượng của Memory Forensics là dữ liệu được lưu trên bộ nhớ, thường là dữ liệu được dump ra từ RAM.

Do đó Memory Forensics mang những đặc điểm chung, nổi bật của Computer Forensics là:

• Dữ liệu cần phân tích thường lớn hoặc rất lớn​
• Dữ liệu có thể không còn nguyên vẹn, bị thay đổi, bị phần mảng.​
• Dữ liệu dễ dàng bị giả mạo

Memory Forensics không yêu cầu nhiều kỹ thuật cao siêu mà chỉ yêu cầu nhân viên pháp y phải tỉ mì xem xét dữ liệu để tìm ra điểm đáng ngờ.

II. Công cụ

Khi làm công việc Memory Forensics các nhân viên pháp y có các công cụ hỗ trợ dưới đây:

• Để dump dữ liệu từ RAM trên Windows, ta có thể sử dụng những công cụ như DumpIt…
• Để phân tích file dump, thời kì đầu các chuyên gia về Memory Forensics thường sử dụng những strings và grep, đây là những công cụ tìm kiếm dữ liệu trong file theo khuôn mẫu chứ không được phát triển cho Forensics.
• Về sau, xuất hiện những công cụ được phát triển dành riêng cho Memory Forensics như Volatility, MoonSols…

Với các công cụ trong tay, bạn có thể xác định được hệ điều hành, các tiến trình được chạy, tìm ra được các địa chỉ IP đáng ngờ... Kết hợp với các biện pháp Forensics khác, bức tranh toàn cảnh sẽ được hé lộ.

Thực tế, phần Memory Forensics này có ví dụ, có case study để các bạn thực hành. Tuy nhiên, do lâu ngày, link tải file dump mẫu đã bị hỏng. Điều này dẫn tới việc phần Memory Forensics sẽ không có case-study, mong các bạn thông cảm.