image

'Werkgeheugen goudmijn voor hackers'

woensdag 24 april 2013, 11:43 door Redactie, 2 reacties

Veel malware is speciaal ontwikkeld om zich in het werkgeheugen van de computer te verstoppen, waardoor het lastig door virusscanners is te detecteren, aangezien er geen bestanden op de harde schijf worden aangemaakt. Het werkgeheugen bevat allerlei belangrijke informatie, zoals encryptiesleutels, draaiende processen, open sockets en actieve netwerkverbindingen.

Om het werkgeheugen te kunnen doorzoeken moet de malware wel worden uitgevoerd. "In de dieptes van het werkgeheugen zijn sporen te vinden die je kunnen helpen bij het identificeren van slechte dingen die op je computer verstopt zijn", zegt Susan Carter van Solutionary.

Er zijn verschillende tools beschikbaar waarmee het mogelijk is om een dump van het geheugen te maken, zoals Windd en ProcDump voor Windows en LIME voor Linux. "Het is belangrijk dat als je een dump maakt je die op externe media bewaart, zodat je niet op belangrijk bewijsmateriaal stapt."

Toepassing
Voor het analyseren van de geheugendump zijn verschillende gratis tools beschikbaar, zoals Volatility en Mandiant’s Redline. Volatility is een open source framework voor geheugen forensics en ondersteunt zowel Windows als Linux. Redline beschikt over een grafische gebruikersinterface en kan het 'malware-risico' van processen berekenen.

Voor security professionals die hun kennis en vaardigheden willen uitbreiden is geheugenanalyse een waardevolle toevoeging, merkt Carter op. "In de huidige wereld is het voor incident respons en malware-onderzoek een waardevolle skill om te hebben. Voor forensisch onderzoek is deze vaardigheid van onschatbare waarde."

Reacties (2)
26-04-2013, 09:01 door Anoniem
Geheugen dump is nieuw voor mij maar ik vind het wel intressant. Alleen kom ik er niet uit met WinDD. Als ik het start laat hij een GUI zien met de aanwezig hardeschijven, het lijkt helemaal niet over werkgeheugen te gaan. Ook lukt het niet om er in cmd.exe er iets mee te doen. Kan iemand me de goede richting op wijzen?
24-05-2013, 20:43 door Anoniem
Erm windows heeft een tool om een dump te maken (DMP-bestand). Om dit te doen ga je naar taakbeheer -> "Processen" -> rechtermuisknop op een proces -> "Create dump file". Vervolgens kan je dit bestand openen. Ik heb Visual Studio gebruikt omdat ik het al geinstalleerd had. Er zijn wss betere tools om DMP in te zien (zie google).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.