文 档: LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
作 者: GoSSIP @ LoCCS.Shanghai Jiao Tong University
语 言: 中文
标 签 取证 行为分析
介 绍:

发表在NDSS‘16上的论文 LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis。本文综合了之前的一些对PC进行物理分析内存取证和硬盘取证的手段,并形成了一整套的分析手段。

  • 目标: 利用物理方法实现对恶意软件行为分析的分析环境,解决恶意软件会对自己是否处于分析环境中进行检查并提前退出这一个问题。
  • 通过在system under test上插拔一些硬件的方式,在线监控物理主机的一些状态(内存,硬盘),获得的原始数据会使用已有的开源软件Volatility和Sleuthkit填补信息
  • 已有一些获取裸机运行时物理内存的方法,本文主要开发了监控SATA硬盘的物理方法。并结合之前人的工作将各种技术整合成为一个可用的分析系统 系统实现:

    • 物理实现
    • 内存在线读取: 一块Xilinx ML507插在的PCIe接口上的板子,因为PCIe设备是可以读取机子上的全部内存的,而且这个技术一直在之前的balabala文献中使用,而且PCIe的速度非常快
    • Disk: 一个有连个SATA接口的板子ML507,做主机和硬盘之间的中间人,并将每一个数据用千兆口网卡以UDP的形式发出出来
    • 做了个假键盘,和一个不太好的鼠标,然后就可以远程控制这个物理主机,并提到有一个现成的设备可以帮助完成类似的工作

    • 最后,因为不像虚拟机可以随时恢复镜像,所以系统是使用PXE,然后网络启动的,这样重置设备只需要重启电脑就可以了

  • 对应的作者还部署了基于虚拟化技术实现的版本: - 内存读取,硬盘数据,交互,状态恢复

  • 性能测试:

    • 内存: RAMSpeed做测试
    • 硬盘:IOZone
援 引: http://www.securitygossip.com/blog/2016/03/17/2016-03-17/
附件下载
相关推荐
手机取证的新问题和新发展
#目录 - 当前手机取证工作所面临的问题 - 新问题的新对策 - 新的解决
智能手机系统安全与取证技术
#内容 - • 移动终端发展现状 - • 面临的问题与挑战 - •
LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
发表在NDSS‘16上的论文 LO-PHI: Low-Observable Ph
针对网络空间关键基础设施情报收集的组织行为分析报告 2016
随着Shodan类网络空间搜索引擎的出现,基于主动探测的工控安全态势感知技术倍受
网站-服务器取证实践与挑战
- 应用/网页取证 数据/主机取证 - WEB 应用/网站的发展 - 网页取
自适应安全架构实践
- 美国市场防御类安全投入 - 自适应安全架构 - 基于行为模式的入侵监控
阅读心得