Advances in memory forensics

par Fabio Pagani

Thèse de doctorat en Informatique et réseaux

Sous la direction de Davide Balzarotti.

Le président du jury était Aurélien Francillon.

Le jury était composé de Brendan Dolan-Gavitt, Clémentine Maurice, Mariano Graziano.

Les rapporteurs étaient Engin Kirda, Juan Caballero.

  • Titre traduit

    Progrés dans l'investigation forensique de la mémoire volatile


  • Résumé

    L'adoption de la memory forensics - l'art d'extraire artefacts de la mémoire volatile d'un système compromis - est propagation dans les enquêtes de cybersécurité. De cette façon, les analystes en memory forensics peuvent gagner la grande image sur un comportement malveillant. Néanmoins, memory forensics a moins de deux décennies: de nombreux défis sont non résolus. Cette thèse donne une nouvelle perspective sur trois de ces problèmes. La première contribution étudie les effets non atomiques méthodes d'acquisition. La cause première de ce problème est que pendant la mémoire est acquise, l'utilisateur et les processus du noyau sont en cours d’exécution et modifient donc le contenu de la mémoire. Pour cette raison, la mémoire résultante le vidage ne représente pas l'état de la mémoire en un point donné dans le temps, mais plutôt un mélange de plusieurs points. La deuxième contribution se concentre sur l'extraction automatique d'un profil de forensics à partir d'un vidage de la mémoire. Avoir un profil valide est une exigence forte pour l'analyse de la mémoire, car sans aucun technique de forensics de la mémoire structurée peut être appliquée. Donc, ce problème empêche efficacement l'application de l'investigation judiciaire sur la mémoire dans les scénarios où la création d'un profil est plus difficile. La troisième et dernière contribution de cette thèse vise à changer la manière dont les règles de forensics, mieux connues sous le nom de plugins, sont créées. De nos jours, ces règles sont écrites manuellement par le noyau experts et praticiens de memory forensics. Malheureusement, cette approche n’a aucune garantie sur la qualité ni sur le l'unicité de ces règles.


  • Résumé

    The adoption of memory forensics - the art of extracting artifacts from the volatile memory of a compromised system - is spreading in cyber-security investigations. The main reason of this enthusiasm comes from the fact that many artifacts can not be found elsewhere. In this way, the forensics analysts can gain the big picture over a malicious behavior. Nevertheless, memory forensics is less than two decades old: many challenges are unsolved and many questions are unanswered. This thesis gives a new perspective over three of these problems. The first contribution studies the effects non-atomic acquisition methods. The root cause of this problem is quite straightforward to explain: while the memory is acquired, user and kernel processes are running and therefore modifying the content of the memory. For this reason, the resulting memory dump does not represent the state of the memory in a given point in time, but rather a mix of multiple points. The second contribution focus on automatically extracting a forensics profile from a memory dump. Having a valid profile is a strong requirement for memory analysis because without one any structured memory forensics technique can be applied. Therefore, this problem effectively prevents memory forensics to be applied in those scenarios where creating a profile is harder -- if not impossible. The third and last contribution of this thesis aims to change how forensics rules, better known as plugins, are created. Nowadays, these rules are manually written by kernel experts and forensics practitioners. Unfortunately, this manual approach does not have any guarantee on the quality or on the uniqueness of these rules.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Sorbonne Université. Bibliothèque des thèses électroniques.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.