Autor: Adam Urban
Školiteľ: RNDr. Eva Marková
Abstrakt
Forenzná analýza operačnej pamäte (RAM) je dôležitou súčasťou vyšetrovania kybernetických trestných činov. RAM môže obsahovať cenné informácie o aktivitách, ktoré sa uskutočnili v počítači, ako sú spustené procesy, otvorené súbory a navštívené webové stránky. Analýza RAM môže pomôcť pri identifikácii páchateľov, pri odhaľovaní prípadov a pri zhromažďovaní dôkazov. V našej práci sme sa zamerali na zjednodušenie a automatizáciu forenznej analýzy, ktorou vieme pomôcť pri analýze podozrivých artefaktov so zameraním na operačný systém Windows. Ako modelové prípady používame dva druhy zaistených pamätí z portálu MemLabs, ďalším modelovým obrazom operačnej pamäte bol prípad ukradnutej Sečuánskej omáčky. Našim posledným obrazom bol nami vytvorený obraz operačnej pamäte nášho zariadenia. Na týchto obrazoch operačnej pamäte sme testovali nami vytvorený nástroj na automatizáciu forenznej analýzy operačnej pamäte. Pri tvorení nástroja sme vyberali najvhodnejšie technológie na zaistenie operačnej pamäte a analýzu operačnej pamäte.
Ciele
- Porovnanie aktuálnych prístupov k forenznej analýze operačnej pamäte.
- Analýza a spracovanie forenzných artefaktov obsiahnutých v operačnej pamäti.
- Návrh, implementácia a overenie nástroja na automatizáciu forenznej analýzy operačnej pamäte.
Literatúra
- Latzo, Tobias, Ralph Palutke, and Felix Freiling. „A universal taxonomy and survey of forensic memory acquisition techniques.“ Digital Investigation 28 (2019): 56-69.
- Nyholm, Hannah, et al. „The Evolution of Volatile Memory Forensics.“ Journal of Cybersecurity and Privacy 2.3 (2022): 556-572.
- Case, Andrew, and Golden G. Richard III. „Memory forensics: The path forward.“ Digital investigation 20 (2017): 23-33.
- Iqbal, Salman, and Soltan Abed Alharbi. „Advancing automation in digital forensic investigations using machine learning forensics.“ Digital Forensic Science. IntechOpen, (2019).
Priebeh práce
Zatiaľ nezverejnené
