An introduction to memory forensics

Relatore: Andrea Oliveri, Eurecom Francia

Data: 28 gennaio ore 10

Modalità: il seminario si svolgerà online. Qui il link per partecipare.

Abstract:

Storicamente, l’analisi forense di PC e dispositivi elettronici è nata come scienza per aiutare l’indagine forense tradizionale, ovvero per analizzare i dispositivi sequestrati, ma oggi le sue tecniche fanno ormai parte anche delle normali procedure di incident response. Tradizionalmente, l’attenzione dell’analista forense era concentrata sull’analisi di hard drive e supporti di cold storage e solo recentemente si è spostata su altri componenti quali la memoria RAM.
Una ragione di questo interesse deriva dal fatto che gli attaccanti sono diventati sempre più consapevoli delle tracce che lasciano sui supporti fisici, quindi un’analisi focalizzata solo su questi ultimi dà spesso una visione incompleta e, cosa ancora più cosa ancora più mportante, molti artefatti si possono ricavare solo dalla memoria RAM.
Il seminario si occuperà di come viene svolta un’indagine di memory forensics, quali problemi l’analista si trova ad affrontare e poterli risolvere, il tutto supportato da esempi di memory forensics in ambiente Windows e Linux utilizzando il tool open-source Volatility