文 档: LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
作 者: GoSSIP @ LoCCS.Shanghai Jiao Tong University
语 言: 中文
标 签 取证 行为分析
介 绍:

发表在NDSS‘16上的论文 LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis。本文综合了之前的一些对PC进行物理分析内存取证和硬盘取证的手段,并形成了一整套的分析手段。

  • 目标: 利用物理方法实现对恶意软件行为分析的分析环境,解决恶意软件会对自己是否处于分析环境中进行检查并提前退出这一个问题。
  • 通过在system under test上插拔一些硬件的方式,在线监控物理主机的一些状态(内存,硬盘),获得的原始数据会使用已有的开源软件Volatility和Sleuthkit填补信息
  • 已有一些获取裸机运行时物理内存的方法,本文主要开发了监控SATA硬盘的物理方法。并结合之前人的工作将各种技术整合成为一个可用的分析系统 系统实现:

    • 物理实现
    • 内存在线读取: 一块Xilinx ML507插在的PCIe接口上的板子,因为PCIe设备是可以读取机子上的全部内存的,而且这个技术一直在之前的balabala文献中使用,而且PCIe的速度非常快
    • Disk: 一个有连个SATA接口的板子ML507,做主机和硬盘之间的中间人,并将每一个数据用千兆口网卡以UDP的形式发出出来
    • 做了个假键盘,和一个不太好的鼠标,然后就可以远程控制这个物理主机,并提到有一个现成的设备可以帮助完成类似的工作

    • 最后,因为不像虚拟机可以随时恢复镜像,所以系统是使用PXE,然后网络启动的,这样重置设备只需要重启电脑就可以了

  • 对应的作者还部署了基于虚拟化技术实现的版本: - 内存读取,硬盘数据,交互,状态恢复

  • 性能测试:

    • 内存: RAMSpeed做测试
    • 硬盘:IOZone
援 引: http://www.securitygossip.com/blog/2016/03/17/2016-03-17/
附件下载
相关推荐
从永恒之蓝勒索攻击看高级威胁调查取证的创新价值
- “想哭”蠕虫勒索病毒带来了安全新挑战 - “想哭”蠕虫勒索病毒的溯源分析
网络流量异常行为分析系统
- 背景:APT攻击事件遍布全球,是网络空间安全面临的重大挑战 - 传统入侵\
智能设备风险评估与取证分析
- 能设备有哪些? - 智能设备风险分析 - 取证和分析
认证认可在电子物证领域的现状与发展
- 国际认可机构的分布情况 - 认证认可工作在中国发展迅猛 - 司法鉴定/法
企业AppLayer面临的IT安全风险与危机
演讲者结合20多年国内外信息安全从业经验,对前瞻性创新安全技术作出持续的研究,
基于图的防欺诈分析
- 背景 - 如何发现这些攻击者? - 攻击者特点 - 攻击者成本 -
阅读心得