• XSS.stack #1 – первый литературный журнал от юзеров форума

Мануал/Книга Криминалистика компьютерной памяти на практике. Как эффективно анализировать оперативную память (2023)

Отслеживать

x00c4sub

RAM
Пользователь
Регистрация
13.05.2020
Сообщения
142
Реакции
259
Книга знакомит читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с примене нием свободно распространяемых инструментов и фреймворков для анализа памяти. В издании принят практический подход, используются образы памяти из реальных инцидентов. Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников. Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей.

cloud.mail.ru

Файл из Облака Mail.ru

Облако Mail.ru - это ваше персональное надёжное хранилище в интернете.
cloud.mail.ru cloud.mail.ru
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Довольно интересный материал для "общего развития", мог бы рекомендовать к прочтению всем кто интересуется работой ОС чуть глубже чем программирование на фреймворках.

От себя добавлю, что в публикации упущен один очень важный и применяемый на сегодняшний день метод создания дампа ОЗУ при помощи физического доступа через PCIe.

Допустим, ситуация - получили физический доступ к работающему серверу, с шифрованным диском при помощи luks или veracrypt, возможности ребутнуть и загрузиться с флеша чтобы снять образ - нет (ну вот все порты usb сгоревшие, бывает...) .
В таких случаях есть прикольный прием - в pcie прям "на живую", втыкается платка-переходник, которая используя механизмы DMA - Direct Memory Access, создает дамп всего что находится в ОЗУ, в том числе и ключа для расшифровки данных на диске. Сама плата ничего интересного не представляет. Мелкая "плисина", подключенная через доп интерфейс (usb или ethernet) к ноутбуку на который сливаем дамп.

К сожалению в "паблике" информации про этот метод не много, но я его реализовывал на практике для решения одной специфической задачи - так что эта методика 100% работает.
Но и от такого хитрого метода снятия дампа озу можно защититься.
 
gliderexpert сказал(а):
Но и от такого хитрого метода снятия дампа озу можно защититься.
Если вас не затруднит, очень хочется ознакомится с методом защиты. Думаю многим, будет интересно и полезно.
 
Gi_energi сказал(а):
Если вас не затруднит, очень хочется ознакомится с методом защиты. Думаю многим, будет интересно и полезно.

[en]
Im not and expert in this topic but I have some content to add here which is relevant to people which can suffer a physical attacks, the first thing which come to my mind for those scenarios is to use encrypted RAM, its not an easy task and the properly way to get it working depends on particular hardware. But it is possible to even run different VMs with different keys all with RAM encrypted direct by the hardware, qemu already have a implementation for this using AMD SEV. Intel lost the race when implementing this feature but it also have what is called Intel TME-MK. I will let some references here for those interested on how those things should me used.

[ru]
Я не эксперт в этой теме, но у меня есть кое-какой контент, который я могу добавить сюда, который имеет отношение к людям, которые могут подвергаться физическим атакам, первое, что приходит мне в голову для этих сценариев, это использование зашифрованной оперативной памяти, это непростая задача и правильный способ заставить его работать зависит от конкретного оборудования. Но можно даже запускать разные виртуальные машины с разными ключами, все с оперативной памятью, зашифрованной непосредственно аппаратно, у qemu уже есть реализация для этого с использованием AMD SEV. Intel проиграла гонку при реализации этой функции, но у нее также есть то, что называется Intel TME-MK. Я оставлю здесь несколько ссылок для тех, кто интересуется тем, как эти вещи следует использовать.

QEMU (using SEV)
AMD SEV
Intel TME-MK
 
Gi_energi сказал(а):
Если вас не затруднит, очень хочется ознакомится с методом защиты. Думаю многим, будет интересно и полезно.
IOMMU
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх