文 档: LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
作 者: GoSSIP @ LoCCS.Shanghai Jiao Tong University
语 言: 中文
标 签 取证 行为分析
介 绍:

发表在NDSS‘16上的论文 LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis。本文综合了之前的一些对PC进行物理分析内存取证和硬盘取证的手段,并形成了一整套的分析手段。

  • 目标: 利用物理方法实现对恶意软件行为分析的分析环境,解决恶意软件会对自己是否处于分析环境中进行检查并提前退出这一个问题。
  • 通过在system under test上插拔一些硬件的方式,在线监控物理主机的一些状态(内存,硬盘),获得的原始数据会使用已有的开源软件Volatility和Sleuthkit填补信息
  • 已有一些获取裸机运行时物理内存的方法,本文主要开发了监控SATA硬盘的物理方法。并结合之前人的工作将各种技术整合成为一个可用的分析系统 系统实现:

    • 物理实现
    • 内存在线读取: 一块Xilinx ML507插在的PCIe接口上的板子,因为PCIe设备是可以读取机子上的全部内存的,而且这个技术一直在之前的balabala文献中使用,而且PCIe的速度非常快
    • Disk: 一个有连个SATA接口的板子ML507,做主机和硬盘之间的中间人,并将每一个数据用千兆口网卡以UDP的形式发出出来
    • 做了个假键盘,和一个不太好的鼠标,然后就可以远程控制这个物理主机,并提到有一个现成的设备可以帮助完成类似的工作

    • 最后,因为不像虚拟机可以随时恢复镜像,所以系统是使用PXE,然后网络启动的,这样重置设备只需要重启电脑就可以了

  • 对应的作者还部署了基于虚拟化技术实现的版本: - 内存读取,硬盘数据,交互,状态恢复

  • 性能测试:

    • 内存: RAMSpeed做测试
    • 硬盘:IOZone
援 引: http://www.securitygossip.com/blog/2016/03/17/2016-03-17/
附件下载
相关推荐
智能设备风险评估与取证分析
  • xdef,智能设备,取证
- 能设备有哪些? - 智能设备风险分析 - 取证和分析
面向社会目标的复杂网络态势感知与取证分析
  • 电子数据取证,态势感知
#目录 - 背景概述 - 关键技术 - 态势感知分析 - 电子数据取证视
云计算取证挑战和最新进展
  • 云取证,取证,调查取证安全管理要求
- 云计算 - 取证需求 - 云取证面临的主要困难 - 云取证所面临的挑战
针对网络空间关键基础设施情报收集的组织行为分析报告 2016
  • 工控,工控安全,基础安全,情报,行为分析
随着Shodan类网络空间搜索引擎的出现,基于主动探测的工控安全态势感知技术倍受
“安全情报与情境感知” 谈大数据分析平台的最后一公里建设
  • 安全情报,行为分析,内控
RSA 2015最炙手可热的几个安全关键词是“高级威胁”、“安全智能”、“威胁情
Mobile Malware Analyze System using ElasticSearch
  • 日志分析,行为分析
#Topics - • Overview – Malware Detectio
阅读心得