Anti Anti Forense de Memória Abortando o Abort Factor

Inscreva-se. https://goo.gl/NfsjjA Anti-Anti-Forense de Memória: Abortando o "Abort Factor" Trilha: Administração - Segurança Autores: Tony Rodrigues mostrar currículo Apresentação: Dia 15 às 12:00 na sala 41B (60 minutos) vídeo Descrição: Em 2012, dois pesquisadores japoneses elaboraram uma técnica, apresentada na Black Hat Europa do mesmo ano, que consiste em modificar um byte - sem ca usar crash do sistema - a fim de impedir que ferramentas de análise (Volatility, Memoryze e HBGary) consigam entender e posteriormente interpretar um dump de memória. Esta técnica ficou conhecida como Abort Factor. Durante suas pesquisas, Takahiro Haruyama e Hiroshi Suzuki identificaram três operações críticas e comuns nas ferramentas de análise de memória: - Tradução do endereço virtual em kernel space - Identificação do Sistema Operacional e arquitetura do dump - Obtenção de objetos do kernel Dessa forma, através da manipulação de apenas um byte nas estruturas relacionadas a cada um dos itens acima, foi possível tornar esse dump incompreensível para ferramentas de análise forense. Pesquisamos a técnica do Abort Factor e demonstraremos como é possível identificar o ataque, bem como reverter/corrigir um dump de memória de uma máquina onde a técnica foi usada.

Length: 37:41

Views 14 Likes: 0

Recorded on 2016-07-13 at FISL

Look for other videos at FISL.

Tweet this video