Συντάχθηκε 16-07-2025 14:56
Τόπος:
Σύνδεσμος τηλεδιάσκεψης
Έναρξη: 21/07/2025 12:00
Λήξη: 21/07/2025 13:00
ΠΟΛΥΤΕΧΝΕΙΟ ΚΡΗΤΗΣ
Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών
Πρόγραμμα Προπτυχιακών Σπουδών
ΠΑΡΟΥΣΙΑΣΗ ΔΙΠΛΩΜΑΤΙΚΗΣ ΕΡΓΑΣΙΑΣ
Οδυσσέα Σταύρου
με θέμα
Από memmap στο minidump: Ανάπτυξη Επέκτασης Volatility για τη Διευκόλυνση Ανάλυσης Μνήμης ανά Διεργασία
From memmap to minidump; Creating a Volatility Plugin to Facilitate per-process Memory Analysis
Εξεταστική Επιτροπή
Καθηγητής Σωτήριος Ιωαννίδης (επιβλέπων)
Αναπληρωτής Καθηγητής Βασίλειος Σαμολαδάς
Associate Professor Davide Maiorca (University of Cagliari)
Περίληψη
Το Volatility αποτελεί το πιο προηγμένο εργαλείο ανάλυσης μνήμης στην κατηγορία του. Μπορεί αποτελεσματικά να αναλύσει στιγμιότυπα μνήμης από Windows, Linux και Mac. Ωστόσο, το Volatility ασχολείται ρητά με τη μνήμη, επιτρέποντας την εξερεύνηση δομών χαμηλού επιπέδου και την πρόσβαση σε οποιαδήποτε έγκυρη διεύθυνση φυσικής ή εικονικής μνήμης, είτε στον χώρο του πυρήνα είτε του χρήστη. Τι συμβαίνει όμως όταν θέλουμε να διερευνήσουμε μνήμη υψηλότερου επιπέδου, όπως για παράδειγμα αντικείμενα σε μια διεργασία που θεωρείται ύποπτη ως πράκτορας Command and Control (C2/CnC); ΄Η όταν μια ομάδα επιθετικού ελέγχου (red team) θέλει να εξαγάγει ευαίσθητα δεδομένα από μια συγκεκριμένη διεργασία; Πώς μπορούμε από ένα πλήρες στιγμιότυπο μνήμης των Windows να δημιουργήσουμε ένα απομονωμένο και «φιλικό προς τον χρήστη» Minidump που να μπορεί να χρησιμοποιηθεί από ήδη διαθέσιμα εργαλεία (όπως WinDBG, mimikatz, και κυρίως τις επεκτάσεις τους) για την ανάλυση μιας μεμονωμένης διεργασίας; Η παρούσα εργασία αξιοποιεί υπάρχουσα έρευνα για τη δημιουργία μίας επέκτασης (plugin) στο Volatility που μπορεί να εξάγει και να αναδιαμορφώσει τη μνήμη μιας διεργασίας σε ένα στιγμιότυπο Minidump. Η προσέγγιση αυτή εκμεταλλεύεται την υψηλή αρθρωτότητα και επεκτασιμότητα του Volatility, και εξηγεί πώς, μέσω πρόσβασης σε αδιαφανείς δομές (όπως _EPROCESS, _ETHREAD), μπορούμε να παράγουμε Minidumps κατάλληλα για ανάλυση.
Abstract
The Volatility Framework is the most advanced memory analysis framework in its category out there. It can effectively analyse Windows, Linux, and Mac memory snapshots. However, Volatility deals explicitly with and in memory. It will give you a view into the memory snapshot for you to explore the low-level system structures and venture at any (valid) address of any process, physical or virtual, either in kernel-land or user-land. But what happens if we want to explore a slightly higher level of memory, such as the Objects in a process suspected of being a Command and Control (C2/CnC) agent, or a red-teamer extracting secrets from a specific process? How do we go from a whole Windows memory snapshot into an isolated "user-friendly" Minidump that we can use with already made tools (WinDBG, mimikatz, and most notably their plugins) to analyse a single process? This work leverages some pre-existing research in an attempt to create a Volatility plugin that can extract and restructure a Process’ memory into a Minidump snapshot taking advantage of Volatility’s highly modular, and pluggable tooling and in the process, outlining how given access to the opaque structures (_EPROCESS,_ETHREAD, etc.) one can generate analysable Minidumps.
