de anonymizing live cds through physical memory analysis
play

De-Anonymizing Live CDs through Physical Memory Analysis - PowerPoint PPT Presentation

Dec 20, 2023 •34 likes •644 views

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst Speaker Background Computer Science degree from the University

  1. De-­‑Anonymizing ¡Live ¡CDs ¡through ¡ Physical ¡Memory ¡Analysis ¡ Andrew ¡Case ¡ Senior ¡Security ¡Analyst ¡

  2. Speaker ¡Background ¡ • Computer ¡Science ¡degree ¡from ¡the ¡University ¡ of ¡New ¡Orleans ¡ • Former ¡Security ¡Consultant ¡for ¡Neohapsis ¡ • Worked ¡for ¡Digital ¡Forensics ¡SoluFons ¡since ¡ 2009 ¡ • Work ¡experience ¡ranges ¡from ¡penetraFon ¡ tesFng ¡to ¡reverse ¡engineering ¡to ¡forensics ¡ invesFgaFons/IR ¡to ¡related ¡research ¡ 2 ¡

  3. Agenda ¡ • Discuss ¡Live ¡CDs ¡and ¡how ¡they ¡disrupt ¡the ¡ normal ¡forensics ¡process ¡ • Present ¡research ¡that ¡enables ¡tradiFonal ¡ invesFgaFve ¡techniques ¡against ¡live ¡CDs ¡ • Discuss ¡issues ¡with ¡Tor ’ s ¡insecure ¡handling ¡of ¡ memory ¡and ¡present ¡preliminary ¡memory ¡ analysis ¡research ¡ 3 ¡

  4. Normal ¡Forensics ¡Process ¡ Obtain Hard Drive Acquire Disk Image Verify Image Process Image Perform Investigation 4 ¡

  5. TradiFonal ¡Analysis ¡Techniques ¡ • Timelining ¡of ¡acFvity ¡based ¡on ¡MAC ¡Fmes ¡ ¡ • Hashing ¡of ¡files ¡ • Indexing ¡and ¡searching ¡of ¡files ¡and ¡ unallocated ¡space ¡ • Recovery ¡of ¡deleted ¡files ¡ • ApplicaFon ¡specific ¡analysis ¡ – Web ¡acFvity ¡from ¡cache, ¡history, ¡and ¡cookies ¡ – E-­‑mail ¡acFvity ¡from ¡local ¡stores ¡(PST, ¡Mbox, ¡…) ¡ 5 ¡

  6. Problem ¡of ¡Live ¡CDs ¡ • Live ¡CDs ¡allow ¡users ¡to ¡run ¡an ¡operaFng ¡ system ¡and ¡all ¡applicaFons ¡enFrely ¡in ¡RAM ¡ • This ¡makes ¡tradiFonal ¡digital ¡forensics ¡ (examinaFon ¡of ¡disk ¡images) ¡impossible ¡ • All ¡the ¡previously ¡listed ¡analysis ¡techniques ¡ cannot ¡be ¡performed ¡ 6 ¡

  7. The ¡Problem ¡Illustrated ¡ Obtain Hard Drive Acquire Disk Image Verify Image Process Image Perform Investigation 7 ¡

  8. No ¡Disks ¡or ¡Files, ¡Now ¡What? ¡ • All ¡we ¡can ¡obtain ¡is ¡a ¡memory ¡capture ¡ • With ¡this, ¡an ¡invesFgator ¡is ¡le^ ¡with ¡very ¡ limited ¡and ¡crude ¡analysis ¡techniques ¡ • Can ¡sFll ¡search, ¡but ¡can ’ t ¡map ¡to ¡files ¡or ¡dates ¡ – No ¡context, ¡hard ¡to ¡present ¡coherently ¡ • File ¡carving ¡becomes ¡useless ¡ – Next ¡slide ¡ • Good ¡luck ¡in ¡court ¡ ¡ 8 ¡

  9. File ¡Carving ¡ • Used ¡extensively ¡to ¡recover ¡previously ¡ deleted ¡files/data ¡ • Uses ¡a ¡database ¡of ¡headers ¡and ¡footers ¡to ¡find ¡ files ¡within ¡raw ¡byte ¡streams ¡such ¡as ¡a ¡disk ¡ image ¡ • Finds ¡instances ¡of ¡each ¡header ¡followed ¡by ¡ the ¡footer ¡ • Example ¡file ¡formats: ¡ – JPEG ¡-­‑ ¡\xff\xd8\xff\xe0\x00\x10 ¡ ¡ ¡ ¡ ¡-­‑ ¡\xff\xd9 ¡ ¡ – GIF ¡ ¡ ¡ ¡-­‑ ¡\x47\x49\x46\x38\x37\x61 ¡-­‑ ¡ ¡\x00\x3b ¡ 9 ¡

  10. File ¡Carving ¡Cont. ¡ • File ¡carving ¡relies ¡on ¡conFguous ¡allocaFon ¡of ¡ files ¡ – Luckily ¡modern ¡filesystems ¡strive ¡for ¡low ¡ fragmentaFon ¡ • Unfortunately ¡for ¡memory ¡analysis, ¡physical ¡ pages ¡for ¡files ¡are ¡almost ¡never ¡allocated ¡ conFgously ¡ – Page ¡size ¡is ¡only ¡4k ¡so ¡no ¡structured ¡file ¡will ¡fit ¡ – Is ¡the ¡equivalent ¡of ¡a ¡completely ¡fragmented ¡ filesystem ¡ 10 ¡

  11. People ¡Have ¡Caught ¡On… ¡ • The ¡Amnesic ¡Incognito ¡Live ¡System ¡(TAILS) ¡[1] ¡ – “ No ¡trace ¡is ¡le^ ¡on ¡local ¡storage ¡devices ¡unless ¡ explicitly ¡asked. ” ¡ – “ All ¡outgoing ¡connecFons ¡to ¡the ¡Internet ¡are ¡ forced ¡to ¡go ¡through ¡the ¡Tor ¡network ” ¡ • Backtrack ¡[2] ¡ – ¡ “ ability ¡to ¡perform ¡assessments ¡in ¡a ¡purely ¡naFve ¡ environment ¡dedicated ¡to ¡hacking. ” ¡ ¡ 11 ¡

  12. What ¡It ¡Really ¡Means… ¡ • InvesFgators ¡without ¡deep ¡kernel ¡internals ¡ knowledge ¡and ¡programming ¡skill ¡are ¡basically ¡ hopeless ¡ • It ¡is ¡well ¡known ¡that ¡the ¡use ¡of ¡live ¡CDs ¡is ¡ going ¡to ¡defeat ¡most ¡invesFgaFons ¡ – Main ¡moFvaFon ¡for ¡this ¡work ¡ – Plenty ¡anecdotal ¡evidence ¡of ¡this ¡can ¡be ¡found ¡ through ¡Google ¡searches ¡ 12 ¡

  13. ¡What ¡is ¡the ¡SoluFon? ¡ • Memory ¡Analysis! ¡ • It ¡is ¡the ¡only ¡method ¡we ¡have ¡available… ¡ • This ¡Analysis ¡gives ¡us: ¡ – The ¡complete ¡file ¡system ¡structure ¡ including ¡file ¡contents ¡and ¡metadata ¡ – Deleted ¡Files ¡(Maybe) ¡ – Userland ¡process ¡memory ¡and ¡file ¡system ¡ informaFon ¡ ¡ ¡ 13 ¡

  14. Goal ¡1: ¡Recovering ¡the ¡File ¡System ¡ • Steps ¡needed ¡to ¡achieve ¡this ¡goal: ¡ 1. Understand ¡the ¡in-­‑memory ¡filesystem ¡ 2. Develop ¡an ¡algorithm ¡that ¡can ¡enumerate ¡ directory ¡and ¡files ¡ 3. Recover ¡metadata ¡to ¡enable ¡Fmelining ¡and ¡ other ¡invesFgaFve ¡techniques ¡ 14 ¡

  15. The ¡In-­‑Memory ¡Filesystem ¡ • AUFS ¡(AnotherUnionFS) ¡ – hkp://aufs.sourceforge.net/ ¡ – Used ¡by ¡TAILS, ¡Backtrack, ¡Ubuntu ¡10.04 ¡installer, ¡ and ¡a ¡number ¡of ¡other ¡Live ¡CDs ¡ – Not ¡included ¡in ¡the ¡vanilla ¡kernel, ¡loaded ¡as ¡an ¡ external ¡module ¡ 15 ¡

  16. AUFS ¡Internals ¡ • Stackable ¡filesystem ¡ • Presents ¡a ¡mulFlayer ¡filesystem ¡as ¡a ¡single ¡one ¡to ¡users ¡ • This ¡allows ¡for ¡files ¡created ¡a^er ¡system ¡boot ¡to ¡be ¡ transparently ¡merged ¡on ¡top ¡of ¡read ¡only ¡CD ¡ • Each ¡layer ¡is ¡termed ¡a ¡branch ¡ • In ¡the ¡live ¡CD ¡case, ¡one ¡branch ¡for ¡the ¡CD, ¡and ¡one ¡for ¡all ¡ other ¡files ¡made ¡or ¡changed ¡since ¡boot ¡ ¡ 16 ¡

  17. AUFS ¡Userland ¡View ¡of ¡TAILS ¡ # ¡cat ¡/proc/mounts ¡ Mount aufs ¡/ ¡aufs ¡rw,relaFme,si= 4ef94245 ,noxino ¡ points relevant /dev/loop0 ¡/filesystem.squashfs ¡squashfs ¡ to AUFS tmpfs ¡/live/cow ¡tmpfs ¡ tmpfs ¡/live ¡tmpfs ¡rw,relaFme ¡ The # ¡cat ¡/sys/fs/aufs/si_ 4ef94245 /br0 ¡ mount point of ¡/live/cow=rw ¡ each AUFS # ¡cat ¡/sys/fs/aufs/si_ 4ef94245 /br1 ¡ branch ¡/filesystem.squashfs=rr ¡ ¡ 17 ¡ ¡

  18. Forensics ¡Approach ¡ • No ¡real ¡need ¡to ¡copy ¡files ¡from ¡the ¡read-­‑only ¡ branch ¡ – Just ¡image ¡the ¡CD ¡ • On ¡the ¡other ¡hand, ¡the ¡writable ¡branch ¡ contains ¡every ¡file ¡that ¡was ¡created ¡or ¡ modified ¡since ¡boot ¡ – Including ¡metadata ¡ – No ¡deleted ¡ones ¡though, ¡more ¡on ¡that ¡later ¡ ¡ ¡ 18 ¡

  19. Linux ¡Internals ¡Overview ¡I ¡ • struct ¡dentry ¡ ¡ – Represents ¡a ¡directory ¡entry ¡(directory, ¡file, ¡…) ¡ – Contains ¡the ¡name ¡of ¡the ¡directory ¡entry ¡and ¡a ¡ pointer ¡to ¡its ¡inode ¡structure ¡ • struct ¡inode ¡ – FS ¡generic, ¡in-­‑memory ¡representaFon ¡of ¡a ¡disk ¡inode ¡ – Contains ¡ ¡address_space ¡structure ¡that ¡links ¡an ¡inode ¡ to ¡its ¡file ’ s ¡pages ¡ • struct ¡address_space ¡ – Links ¡physical ¡pages ¡together ¡into ¡something ¡useful ¡ – Holds ¡the ¡search ¡tree ¡of ¡pages ¡for ¡a ¡file ¡ 19 ¡

  20. Linux ¡Internals ¡Overview ¡II ¡ • Page ¡Cache ¡ – Used ¡to ¡store ¡ struct ¡page ¡ structures ¡that ¡ correspond ¡to ¡physical ¡pages ¡ – address_space ¡structures ¡contain ¡linkage ¡into ¡the ¡ page ¡cache ¡that ¡allows ¡for ¡ordered ¡enumeraFon ¡ of ¡all ¡physical ¡pages ¡pertaining ¡to ¡an ¡inode ¡ • Tmpfs ¡ – In-­‑memory ¡filesystem ¡ – Used ¡by ¡TAILS ¡to ¡hold ¡the ¡writable ¡branch ¡ ¡ 20 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst Speaker Background Computer Science degree from the University of New Orleans Former Security Consultant for Neohapsis Worked for Digital

911 views • 61 slides
Virtual Memory Programmer can assume he/she has infinite amount of physical memory

Virtual Memory Programmer can assume he/she has infinite amount of physical memory

4/27/17 Virtual Memory Idea: Give the programmer the illusion of a large address space while having a small physical memory So that the programmer does not worry about managing physical memory Virtual Memory Programmer can assume

817 views • 12 slides
A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory

A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory

A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory 3: (PA) CPU 4: 4 5: Process Abstraction, Part 2: Private Address Space 6: 7: 8: ... M-1: Motivation : why not direct physical memory

376 views • 6 slides
lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9,

lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9,

lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9, 2016 MIPS Memory next three lectures virtual address physical address 514 - 398 - 3740 cell tower

311 views • 27 slides
Virtual Memory Logical address space can therefore be much larger than physical address

Virtual Memory Logical address space can therefore be much larger than physical address

CSC 4103 - Operating Systems Background Spring 2007 Virtual memory separation of user logical memory from physical memory. Only part of the program needs to be in memory for Lecture - XIII execution. Virtual Memory Logical

309 views • 7 slides
Last Class: Memory Management Allocating memory to processes Limited physical memory,

Last Class: Memory Management Allocating memory to processes Limited physical memory,

Last Class: Memory Management Allocating memory to processes Limited physical memory, internal and external fragmentation Paging and segmentation Address translation, efficiency Hardware support (e.g., TLB) Page

513 views • 13 slides
MIPS Memory lecture 16 virtual address physical address

MIPS Memory lecture 16 virtual address physical address

MIPS Memory lecture 16 virtual address physical address virtual vs. physical memory 514 - 398 - 3740 - types of physical memory - paging Wed. March 9, 2016 next three lectures cell tower

460 views • 3 slides
Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists

Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists

1 2 Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists and how its being shared Allows the OS to EE 457 Unit 7c Efficiently share the physical memory between several _______ ___________

380 views • 11 slides
x (Actually, its smaller than that heap Process 3 What goes

x (Actually, its smaller than that heap Process 3 What goes

11/20/15 Virtual Memory Physical Addressing Motivation: why not direct physical memory access? Main memory Address translation with pages 0: 1: Optimizing translation: translation

431 views • 12 slides
Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical

Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical

Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical Memory Through virtual memory N 2 32 -sized address spaces All isolated by default Uses for memory Make a new process Address

516 views • 22 slides
Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical

Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical

Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical memory over a bus Devices access memory over I/O bus with DMA Devices can appear to be a region of memory 1 / 41 Realistic ~2005 PC

1.54k views • 50 slides
L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms

L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms

L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms using an integrated lecture capture and delivery service Matteo Bertazzo - CINECA InterUniversity Consortium 3 rd TF-Media Task Force meeting,

521 views • 21 slides
Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table,

Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table,

Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table, TLB, Alpha 21264 memory hierarchy 1 Adapted from UC Berkeley CS252 S01 Virtual Memory Virtual memory (VM) allows programs to have the illusion of a

711 views • 23 slides
The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs

The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs

The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs vbabka@suse.cz Physical Memory Allocator Physical memory is divided into several zones 1+ zone per NUMA node Binary buddy allocator for

537 views • 51 slides
Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical

Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical

Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical backing executable memory memory storage file (big) (small) header text pageout/eviction text data data idata data BSS wdata symbol user

356 views • 17 slides
Programmed I/O: isolated vs. memory-mapped When we discussed physical addresses of memory, we

Programmed I/O: isolated vs. memory-mapped When we discussed physical addresses of memory, we

COMP 273 20 - memory mapped I/O, polling, DMA Mar. 23, 2016 This lecture we will look at several methods for sending data between an I/O device and either main memory or the CPU. (Recall that we are considering the hard disk to be an I/O

171 views • 6 slides
L'Anonymisation des donnes du DMP Etat des lieux du Privacy Preserving Data Publishing

L'Anonymisation des donnes du DMP Etat des lieux du Privacy Preserving Data Publishing

Partage et Secret de l'Information de Sant Nancy 15/10/10 L'Anonymisation des donnes du DMP Etat des lieux du Privacy Preserving Data Publishing T. Allard & B.Nguyen Institut National de Recherches en Informatique et

497 views • 35 slides
Part 1: Setup Google Map API for Android Prerequisites Please make sure that you can deploy a

Part 1: Setup Google Map API for Android Prerequisites Please make sure that you can deploy a

11/12/13 Setup Google Map API for Android Setup Google Map API for Android Part 1: Setup Google Map API for Android Prerequisites Please make sure that you can deploy a regular Android App on your device. See instructions if you did not finish

384 views • 6 slides
Xamarin.Forms: Native iOS, Android, and Windows Phone apps from ONE C# Codebase James Montemagno

Xamarin.Forms: Native iOS, Android, and Windows Phone apps from ONE C# Codebase James Montemagno

Xamarin.Forms: Native iOS, Android, and Windows Phone apps from ONE C# Codebase James Montemagno Xamarin, Developer Evangelist @JamesMontemagno | @XamarinHQ Create native iOS, Android, Mac and Automatically test your app on Windows apps in

948 views • 32 slides
Arithmetic Operations Arithmetic Operations addition subtraction multiplication

Arithmetic Operations Arithmetic Operations addition subtraction multiplication

Arithmetic Operations Arithmetic Operations addition subtraction multiplication division Each of these operations on the integer representations: unsigned two's complement 1 Addition One bit of binary addition

681 views • 35 slides
Machine Learning Lab Course Organizational Meeting lecturer: Prof. Dr. Stephan Gnnemann Summer

Machine Learning Lab Course Organizational Meeting lecturer: Prof. Dr. Stephan Gnnemann Summer

Machine Learning Lab Course Organizational Meeting lecturer: Prof. Dr. Stephan Gnnemann Summer Term 2018 Data Mining and Analytics Data Mining Machine Learning Practical Course Summer Term 18 and Analytics Team Prof. Dr. Stephan

540 views • 17 slides
Software Engineering I cs361 Announcements Assignment 3 questions Implemented new User

Software Engineering I cs361 Announcements Assignment 3 questions Implemented new User

Software Engineering I cs361 Announcements Assignment 3 questions Implemented new User Story as assigned includes finishing the confirmation and breaking into tasks AntiPatterns "an anti-pattern is something that looks like a

739 views • 54 slides
Design Patterns Learning Goals Understand what are design patterns, their benefits and their

Design Patterns Learning Goals Understand what are design patterns, their benefits and their

CPSC 310 Software Engineering Lecture 11 Design Patterns Learning Goals Understand what are design patterns, their benefits and their drawbacks For at least the following design patterns: Singleton, Observer, Adapter, you will be

276 views • 26 slides
CPSC 875 CPSC 875 John D McGregor John D. McGregor Class 5 Design Concept Styles and patterns

CPSC 875 CPSC 875 John D McGregor John D. McGregor Class 5 Design Concept Styles and patterns

CPSC 875 CPSC 875 John D McGregor John D. McGregor Class 5 Design Concept Styles and patterns Styles and patterns An architecture style and a pattern are very An architecture style and a pattern are very similar A pattern may have

527 views • 13 slides

More recommend