Saturday, July 18, 2020

DIGITAL FORENSICS:MAGNET AXIOM MEMORY ANALYSIS

DIGITAL FORENSICS:Magnet AXIOM  Memory Analysis


    วันนี้ลองมาใช้เครื่องมือสำหรับวิเคราะห์ memory ที่ไม่ฟรีบ้างครับ ว่าทำงานอะไรบ้าง 
Magnet AXIOM เป็นซอฟต์แวร์สำหรับตรวจพิสูจน์หลักฐานดิจิทัล พัฒนาโดยบริษัท Magnet Forensics ช่วยในการตรวจพิสูจน์ข้อมูลดิจิทัล เพื่อสืบค้นและวิเคราะห์ข้อมูล ที่บันทึกอยู่ในสื่อบันทึกข้อมูลดิจิทัลต่าง ๆ อีกทั้งยังสามารถสืบค้นและวิเคราะห์ข้อมูล  memory ,windows usb,ระบบโซเลียลเน็ตเวิร์ค ข้อมูลร่องรอยการใช้งานระบบโซเลียลเน็ตเวิร์คได้อีกด้วย  ซอฟต์แวร์นี้ต้องซื้อ license ครับ

Tools 
-  Magnet AXIOM
- Windows  workstation

ทำการสร้างเคส Create New case และใส่รายละเอียด
เลือก Evidence Source  > เลือก Computer

เลือก Memory 
WIN-TTUMF6EI3O3-20140203-123134.raw

 ทำการเลือก Profile >windows WIN7SP1x86
เริ่มทำการ analyze evidence

Search in Process

Operating System

เลือกหัวข้อ Malware Finder เพื่อดู Process ที่น่าสงสัย
 สังเกตุ Process 1524   สังเกต Details
เลือก ดูในส่วน Connections > Matching >Process 1524
runddl32.exe
*MSDCSC is a common path utilized by DarkComet. Most likely a default path in the builder.
Export > Process 1524   ที่สงสัยแล้วเอาไป scan virus
 พบว่า Process 1524 ที่ export ออกมามีมัลแวร์น่าสงสัย ทำการ Up ไฟล์ ไปที่ virustotal


 ทำการ Upload ไฟล์ไปที่ sandbox analysis
Backdoor DarkKomet


Magnet AXIOM 2.0 — Memory Analysis



สรุป ผลการใช้งานเบื้องต้นโปรแกม Magnet AXIOM ในการวิเคราะห์ memory  เนื่องด้วยในการทดสอบนี้เป็นการวิเคราะห์Static analysis เบื้องต้นเท่านั้นเพื่อไม่ได้ลงลึก  ครับขออภัยมาณที่นี้ด้วยครับ

    - ทำงานได้รวดเร็ว ขึ้นอยู่กับ spec เครื่อง workstation 
    - ยังรองรับเฉพาะ windows memory  เท่าที่เห็นในส่วน Profile
    - ใช้งานง่าย มี GUI ไม่ต้องใช้ commandline สามารถศึกษาคู่มือและวิดิโอจากเว็บไซต์ได้
    - หากต้องใช้งานสำหรับ malware analysis อาจต้องมีเครื่องมืออื่นเพิ่มเติมสำหรับงานโดยเฉพาะ
    
     
Ref:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment