LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis

释放双眼,带上耳机,听听看~!

文 档: LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis
作 者: GoSSIP @ LoCCS.Shanghai Jiao Tong University
语 言: 中文
标 签 取证 行为分析
介 绍:

发表在NDSS‘16上的论文 LO-PHI: Low-Observable Physical Host Instrumentation for Malware Analysis。本文综合了之前的一些对PC进行物理分析内存取证和硬盘取证的手段,并形成了一整套的分析手段。

  • 目标: 利用物理方法实现对恶意软件行为分析的分析环境,解决恶意软件会对自己是否处于分析环境中进行检查并提前退出这一个问题。
  • 通过在system under test上插拔一些硬件的方式,在线监控物理主机的一些状态(内存,硬盘),获得的原始数据会使用已有的开源软件Volatility和Sleuthkit填补信息
  • 已有一些获取裸机运行时物理内存的方法,本文主要开发了监控SATA硬盘的物理方法。并结合之前人的工作将各种技术整合成为一个可用的分析系统 系统实现:

    • 物理实现
    • 内存在线读取: 一块Xilinx ML507插在的PCIe接口上的板子,因为PCIe设备是可以读取机子上的全部内存的,而且这个技术一直在之前的balabala文献中使用,而且PCIe的速度非常快
    • Disk: 一个有连个SATA接口的板子ML507,做主机和硬盘之间的中间人,并将每一个数据用千兆口网卡以UDP的形式发出出来
    • 做了个假键盘,和一个不太好的鼠标,然后就可以远程控制这个物理主机,并提到有一个现成的设备可以帮助完成类似的工作

    • 最后,因为不像虚拟机可以随时恢复镜像,所以系统是使用PXE,然后网络启动的,这样重置设备只需要重启电脑就可以了

  • 对应的作者还部署了基于虚拟化技术实现的版本: - 内存读取,硬盘数据,交互,状态恢复

  • 性能测试:

    • 内存: RAMSpeed做测试
    • 硬盘:IOZone
援 引: http://www.securitygossip.com/blog/2016/03/17/2016-03-17/

相关文章

人已赞赏
安全教程

浅谈RFID安全

2020-3-5 0:47:40

安全教程

德国ITBPM安全风险检查表

2020-3-5 0:47:46

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索