文 档: LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
作 者: GoSSIP @ LoCCS.Shanghai Jiao Tong University
语 言: 中文
标 签 取证 行为分析
介 绍:

发表在NDSS‘16上的论文 LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis。本文综合了之前的一些对PC进行物理分析内存取证和硬盘取证的手段,并形成了一整套的分析手段。

  • 目标: 利用物理方法实现对恶意软件行为分析的分析环境,解决恶意软件会对自己是否处于分析环境中进行检查并提前退出这一个问题。
  • 通过在system under test上插拔一些硬件的方式,在线监控物理主机的一些状态(内存,硬盘),获得的原始数据会使用已有的开源软件Volatility和Sleuthkit填补信息
  • 已有一些获取裸机运行时物理内存的方法,本文主要开发了监控SATA硬盘的物理方法。并结合之前人的工作将各种技术整合成为一个可用的分析系统 系统实现:

    • 物理实现
    • 内存在线读取: 一块Xilinx ML507插在的PCIe接口上的板子,因为PCIe设备是可以读取机子上的全部内存的,而且这个技术一直在之前的balabala文献中使用,而且PCIe的速度非常快
    • Disk: 一个有连个SATA接口的板子ML507,做主机和硬盘之间的中间人,并将每一个数据用千兆口网卡以UDP的形式发出出来
    • 做了个假键盘,和一个不太好的鼠标,然后就可以远程控制这个物理主机,并提到有一个现成的设备可以帮助完成类似的工作

    • 最后,因为不像虚拟机可以随时恢复镜像,所以系统是使用PXE,然后网络启动的,这样重置设备只需要重启电脑就可以了

  • 对应的作者还部署了基于虚拟化技术实现的版本: - 内存读取,硬盘数据,交互,状态恢复

  • 性能测试:

    • 内存: RAMSpeed做测试
    • 硬盘:IOZone
援 引: http://www.securitygossip.com/blog/2016/03/17/2016-03-17/
附件下载
相关推荐
云计算取证挑战和最新进展
  • 云取证,取证,调查取证安全管理要求
- 云计算 - 取证需求 - 云取证面临的主要困难 - 云取证所面临的挑战
加密磁盘取证技术
  • 数据取证,磁盘取证,数据加密,数据解密,电子数据取证
- 物理安保 - 电子数据安保 - 加密磁盘类型及应用 - ATA加密硬盘
内存取证与IaaS云平台恶意行为的安全监控
  • 内存取证,数据取证,恶意代码分析,内存分析,安全监控
#汇报纲要 - 内存取证中的恶意代码分析技术 - 基于内存取证的云中恶意行
REVEALING-Road to User Analysis System Construction
  • 行为分析,风控,机器学习
- 电商 安全 - 第一次 尝试 - 日志 - 消息源
识“黑”寻踪之内存取证
  • 内存取证,内存分析,犯罪取证,电子数据取证
#目录CONTENTS - PART01 内存取证的起源与发展 - PART
Mobile Malware Analyze System using ElasticSearch
  • 日志分析,行为分析
#Topics - • Overview – Malware Detectio
阅读心得