Ботан
Злостный спам-бот
- Сообщения
- 941
- Реакции
- 92
Анализ памяти в Windows 10 сильно отличается от предыдущих версий Windows: новая функция, называемая сжатием памяти, делает необходимым инструмент судебной экспертизы, способный считывать сжатые страницы памяти.
Последние выпуски Windows 10 включают функцию сжатия памяти, которая способна уменьшить использование памяти путем сжатия некоторых страниц памяти с использованием алгоритма Xpress и сохранения их в так называемом хранилище сжатия (эти страницы распаковываются обратно в исходную форму, когда они нужны)
Сжатие памяти в Windows 10 представляет собой существенное развитие в дизайне менеджера памяти: оно повышает производительность системы за счет более эффективного использования физической памяти, но является более сложным, чем предыдущие системы Windows, и в настоящее время публично не документировано.
Стандартная версия Volatility не может проверять память, хранящуюся на сжатых страницах, оставляя множество криминалистических артефактов незамеченными.
К счастью, команда FireEye FLARE создала пользовательскую версию волатильности с конкретными изменениями для чтения сжатой памяти Windows 10:
Чтобы обеспечить более полный анализ памяти в Windows 10, команда FLARE в FireEye проанализировала диспетчер памяти операционной системы, а также алгоритмы и структуры, используемые для извлечения сжатой памяти. Память, которую мы ищем, хранится в виртуальном хранилище, созданном компонентом ядра Store Manager. Менеджер магазина отвечает за управление данными, участвующими в системах оптимизации производительности, включая SuperFetch, ReadyBoost и ReadyDrive. В этом случае виртуальное хранилище — это объект с поддержкой оперативной памяти, использующий пространство памяти в MemCompression.exe для сжатых данных процессов. Результаты этого исследования были перенесены как в Volatility, так и в Rekall, чтобы принести пользу сообществу безопасности.
Скачать Volatility можно здесь: GitHub - mandiant/win10_volatility: An advanced memory forensics framework
Источник
Сжатие памяти в Windows 10
Последние выпуски Windows 10 включают функцию сжатия памяти, которая способна уменьшить использование памяти путем сжатия некоторых страниц памяти с использованием алгоритма Xpress и сохранения их в так называемом хранилище сжатия (эти страницы распаковываются обратно в исходную форму, когда они нужны)
Сжатие памяти в Windows 10 представляет собой существенное развитие в дизайне менеджера памяти: оно повышает производительность системы за счет более эффективного использования физической памяти, но является более сложным, чем предыдущие системы Windows, и в настоящее время публично не документировано.
Анализ дампов памяти Windows 10
Стандартная версия Volatility не может проверять память, хранящуюся на сжатых страницах, оставляя множество криминалистических артефактов незамеченными.
К счастью, команда FireEye FLARE создала пользовательскую версию волатильности с конкретными изменениями для чтения сжатой памяти Windows 10:
Чтобы обеспечить более полный анализ памяти в Windows 10, команда FLARE в FireEye проанализировала диспетчер памяти операционной системы, а также алгоритмы и структуры, используемые для извлечения сжатой памяти. Память, которую мы ищем, хранится в виртуальном хранилище, созданном компонентом ядра Store Manager. Менеджер магазина отвечает за управление данными, участвующими в системах оптимизации производительности, включая SuperFetch, ReadyBoost и ReadyDrive. В этом случае виртуальное хранилище — это объект с поддержкой оперативной памяти, использующий пространство памяти в MemCompression.exe для сжатых данных процессов. Результаты этого исследования были перенесены как в Volatility, так и в Rekall, чтобы принести пользу сообществу безопасности.
Для того, чтобы иметь дело с отсутствующими данными из — за сжатые страницы, FLARE команда FireEye создала несколько дополнений к Волатильность и Rekall для поддержки сжатия памяти для Windows 10. В первую очередь мы добавили необходимые оверлеи
Оверлей описывает внутренние структуры данных, используемые алгоритмом сжатия памяти Windows 10, и делает их доступными в Python. Например, наложения определяют макет структуры SMKM_STORE и деревья B +, используемые для поиска сжатых страниц.
Недокументированные структуры Windows, определенные в наложениях, основаны на информации, полученной нами при анализе различных версий Windows 10. Будучи недокументированными, эти структуры подвержены изменениям во всех сборках Windows и даже в ревизиях. В настоящее время мы поддерживаем версии 1607, 1703, 1709, 1803 и 1809 как для 32-разрядных, так и для 64-разрядных архитектур. Для поддержки дополнительных версий необходимо проанализировать структуру структур и соответствующим образом обновить наложения.
Скачать Volatility можно здесь: GitHub - mandiant/win10_volatility: An advanced memory forensics framework
Источник
Последнее редактирование модератором: