Ιδρυματικό Αποθετήριο
Πολυτεχνείο Κρήτης
Πολυτεχνείο Κρήτης
EN
|
EL
| URI: | http://purl.tuc.gr/dl/dias/222EED11-E4B5-4295-8497-2F25FDD9DA8C | ||
| Έτος | 2025 | ||
| Τύπος | Διπλωματική Εργασία | ||
| Άδεια Χρήσης |
|
||
| Βιβλιογραφική Αναφορά | Οδυσσέας Σταύρου, "Από memmap στο minidump: Ανάπτυξη επέκτασης Volatility για τη διευκόλυνση ανάλυσης μνήμης ανά διεργασία", Διπλωματική Εργασία, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2025 https://doi.org/10.26233/heallink.tuc.104130 | ||
| Εμφανίζεται στις Συλλογές |
Το Volatility αποτελεί το πιο προηγμένο εργαλείο ανάλυσης μνήμης στην κατη-γορία του. Μπορεί αποτελεσματικά να αναλύσει στιγμιότυπα μνήμης από Win-dows, Linux και Mac. Ωστόσο, το Volatility ασχολείται ρητά με τη μνήμη, επιτρέποντας την εξερεύνηση δομών χαμηλού επιπέδου και την πρόσβαση σε οποιαδήποτε έγκυρη διεύθυνση φυσικής ή εικονικής μνήμης, είτε στον χώρο του πυρήνα είτε του χρήστη. Τι συμβαίνει όμως όταν θέλουμε να διερευνήσουμε μνήμη υψηλότερου επιπέδου, όπως για παράδειγμα αντικείμενα σε μια διεργασία που θεωρείται ύποπτη ως πράκτορας Command and Control (C2/CnC); ΄Η όταν μια ομάδα επιθετικού ελέγχου (red team) θέλει να εξαγάγει ευαίσθητα δεδομένα από μια συγκεκριμένη διεργασία; Πώς μπορούμε από ένα πλήρες στιγμιότυπο μνήμης των Windows να δημιουργήσουμε ένα απομονωμένο και«φιλικό προς τον χρήστη» Minidump που να μπορεί να χρησιμοποιηθεί από ήδη διαθέσιμα εργαλεία (όπως WinDBG, mimikatz, και κυρίως τις επεκτάσεις τους) για την ανάλυση μιας μεμονωμένης διεργασίας; Η παρούσα εργασία αξιοποιεί υπάρχουσα έρευνα για τη δημιουργία μίας επέκτασης (plugin) στο Volatility που μπορεί να εξάγει και να αναδιαμορφώσει τη μνήμη μιας διεργασίας σε ένα στιγμιότυπο Minidump. Η προσέγγιση αυτή εκμεταλλεύεται την υψηλή αρθρωτότητα και επεκτασιμότητα του Volatility, και εξηγεί πώς, μέσω πρόσβασης σε αδιαφανείς δομές (όπως _EPROCESS, _ETHREAD), μπορούμε να παράγουμε Minidumps κατάλληλα για ανάλυση.
Copyright © DIAS 2013
