Semakin berkembangnya dunia digital forensik, pada akhirnya juga memunculkan konsep atau ide anti forensik. Berikut ini adalah isu terkait anti forensik yang di ambil dari paper atau jurnal.
Penulis: Johannes Stüttgen, Michael Cohen
Analisis memori telah mendapatkan popularitas pada beberapa tahun terakhir dalam
teknik pembuktian yang efektif untuk mengungkap malware di sistem
komputer. Proses memori akuisisi menyajikan tantangan pembuktian yang unik karena banyak teknik akuisisi membutuhkan kode untuk dijalankan pada sistem dikompromikan potensial, menyajikan jalan untuk subversi anti-forensik. Dalam paper ini, diperiksa sejumlah teknik anti-forensik sederhana dan
menguji sampel yang representatif dari alat akuisisi memori komersial
dan gratis. Ditemukan peralatan saat ini tidak tahan terhadap
langkah-langkah anti-forensik sederhana. Dalam pper ini, disajikan
teknik akuisisi memori baru, berdasarkan bagian langsung tabel
manipulasi dan PCI hardware introspeksi, tanpa bergantung pada fasilitas
sistem operasi- sehingga lebih sulit untuk ditumbangkan.
Gambar : Physical Memory utilization on modern architectures. The MMU translates memory access from the virtual address space into the physical address space using page tables and the Control Register CR3. The physical address space consists of reserved and available regions configured by the hardware BIOS. The operating system configures hardware DMA buffers within reserved regions for direct access to device memory.
Seperti yang di ilustrasikan pada gambar 1, acquisition toll memiliki 2 masalah untuk dipecahkan :
- Enumeration of address space layout: Alat ini menetukan bagian dari ruang alamat fisik yang didukung oleh memori fisik sebagai lawan peripheral device DMA buffers. Daerah DMA Harus dihindari untuk mencegah sistem crash.
- Physical memory mapping Sejak alat harus mengakses memori fisik melalui ruang alamat virtual, alat harus membuat pemetaan tabel halaman antara wilayah di ruang alamat fisik dan virtual ruang alamat.
- Active anti-forensicsSebuah kernel patcher Python kecil (ditampilkan pada Listing) yang menunjukkan beberapa teknik sederhana.
Listing : A kernel patcher script based on the Technology Preview Edition of the Volatility Memory Analysis Framework (Cohen, 2012b), is able to locate arbitrary kernel functions in the running system and patch them.
Dalam beberapa baris, cript ini memanfaatkan the Technology Preview edition of the Volatility Framework (Walters, 2007; Cohen, 2012b) dan the WinPmem driver with enabled write support (Cohen, 2012a), untuk menumbangkan akuisisi memori dalam 3 cara :
- Kernel debugger block hiding
- Hooking of memory enumeration APIs
- Hooking of memory mapping APIs
Evaluation against active anti-forensics
Untuk mengevaluasi digunakan beberapa alat akuisisi termasuk tools open source untuk tujuan pengujian alat forensik. hasil yang diperoleh seperti pada tabel berikut :
2. Passive techniques
BIOS memory membaagi ruang alamat fisik menjadi dua kategori: available and reserved. available berarti memori di dukung oleh RAM dan dapat digunakan oleh sistem operasi. sedangkan Reserved menunjukkan daerah mana perangkat dapat membuat DMA mappings.
Gambar Hidden memory on a test system with 4 GB of RAM.
Dengan memajukan ketahanan teknik akuisisi maka telah memajukan "perlombaan senjata" antara malware dan alat-alat forensik dengan menaikkan tingkat kompleksitas untuk mengenali, dan mengalahkan investigator.
Dokumen asli dapat diambil dari link di bawah ini.
Referensi
dfrws.org/2013/proceedings/DFRWS2013-13.pdf
Tidak ada komentar:
Posting Komentar