de anonymizing live cds through physical memory analysis
play

De-Anonymizing Live CDs through Physical Memory Analysis - PowerPoint PPT Presentation

Dec 20, 2023 •34 likes •644 views

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst Speaker Background Computer Science degree from the University

  1. De-­‑Anonymizing ¡Live ¡CDs ¡through ¡ Physical ¡Memory ¡Analysis ¡ Andrew ¡Case ¡ Senior ¡Security ¡Analyst ¡

  2. Speaker ¡Background ¡ • Computer ¡Science ¡degree ¡from ¡the ¡University ¡ of ¡New ¡Orleans ¡ • Former ¡Security ¡Consultant ¡for ¡Neohapsis ¡ • Worked ¡for ¡Digital ¡Forensics ¡SoluFons ¡since ¡ 2009 ¡ • Work ¡experience ¡ranges ¡from ¡penetraFon ¡ tesFng ¡to ¡reverse ¡engineering ¡to ¡forensics ¡ invesFgaFons/IR ¡to ¡related ¡research ¡ 2 ¡

  3. Agenda ¡ • Discuss ¡Live ¡CDs ¡and ¡how ¡they ¡disrupt ¡the ¡ normal ¡forensics ¡process ¡ • Present ¡research ¡that ¡enables ¡tradiFonal ¡ invesFgaFve ¡techniques ¡against ¡live ¡CDs ¡ • Discuss ¡issues ¡with ¡Tor ’ s ¡insecure ¡handling ¡of ¡ memory ¡and ¡present ¡preliminary ¡memory ¡ analysis ¡research ¡ 3 ¡

  4. Normal ¡Forensics ¡Process ¡ Obtain Hard Drive Acquire Disk Image Verify Image Process Image Perform Investigation 4 ¡

  5. TradiFonal ¡Analysis ¡Techniques ¡ • Timelining ¡of ¡acFvity ¡based ¡on ¡MAC ¡Fmes ¡ ¡ • Hashing ¡of ¡files ¡ • Indexing ¡and ¡searching ¡of ¡files ¡and ¡ unallocated ¡space ¡ • Recovery ¡of ¡deleted ¡files ¡ • ApplicaFon ¡specific ¡analysis ¡ – Web ¡acFvity ¡from ¡cache, ¡history, ¡and ¡cookies ¡ – E-­‑mail ¡acFvity ¡from ¡local ¡stores ¡(PST, ¡Mbox, ¡…) ¡ 5 ¡

  6. Problem ¡of ¡Live ¡CDs ¡ • Live ¡CDs ¡allow ¡users ¡to ¡run ¡an ¡operaFng ¡ system ¡and ¡all ¡applicaFons ¡enFrely ¡in ¡RAM ¡ • This ¡makes ¡tradiFonal ¡digital ¡forensics ¡ (examinaFon ¡of ¡disk ¡images) ¡impossible ¡ • All ¡the ¡previously ¡listed ¡analysis ¡techniques ¡ cannot ¡be ¡performed ¡ 6 ¡

  7. The ¡Problem ¡Illustrated ¡ Obtain Hard Drive Acquire Disk Image Verify Image Process Image Perform Investigation 7 ¡

  8. No ¡Disks ¡or ¡Files, ¡Now ¡What? ¡ • All ¡we ¡can ¡obtain ¡is ¡a ¡memory ¡capture ¡ • With ¡this, ¡an ¡invesFgator ¡is ¡le^ ¡with ¡very ¡ limited ¡and ¡crude ¡analysis ¡techniques ¡ • Can ¡sFll ¡search, ¡but ¡can ’ t ¡map ¡to ¡files ¡or ¡dates ¡ – No ¡context, ¡hard ¡to ¡present ¡coherently ¡ • File ¡carving ¡becomes ¡useless ¡ – Next ¡slide ¡ • Good ¡luck ¡in ¡court ¡ ¡ 8 ¡

  9. File ¡Carving ¡ • Used ¡extensively ¡to ¡recover ¡previously ¡ deleted ¡files/data ¡ • Uses ¡a ¡database ¡of ¡headers ¡and ¡footers ¡to ¡find ¡ files ¡within ¡raw ¡byte ¡streams ¡such ¡as ¡a ¡disk ¡ image ¡ • Finds ¡instances ¡of ¡each ¡header ¡followed ¡by ¡ the ¡footer ¡ • Example ¡file ¡formats: ¡ – JPEG ¡-­‑ ¡\xff\xd8\xff\xe0\x00\x10 ¡ ¡ ¡ ¡ ¡-­‑ ¡\xff\xd9 ¡ ¡ – GIF ¡ ¡ ¡ ¡-­‑ ¡\x47\x49\x46\x38\x37\x61 ¡-­‑ ¡ ¡\x00\x3b ¡ 9 ¡

  10. File ¡Carving ¡Cont. ¡ • File ¡carving ¡relies ¡on ¡conFguous ¡allocaFon ¡of ¡ files ¡ – Luckily ¡modern ¡filesystems ¡strive ¡for ¡low ¡ fragmentaFon ¡ • Unfortunately ¡for ¡memory ¡analysis, ¡physical ¡ pages ¡for ¡files ¡are ¡almost ¡never ¡allocated ¡ conFgously ¡ – Page ¡size ¡is ¡only ¡4k ¡so ¡no ¡structured ¡file ¡will ¡fit ¡ – Is ¡the ¡equivalent ¡of ¡a ¡completely ¡fragmented ¡ filesystem ¡ 10 ¡

  11. People ¡Have ¡Caught ¡On… ¡ • The ¡Amnesic ¡Incognito ¡Live ¡System ¡(TAILS) ¡[1] ¡ – “ No ¡trace ¡is ¡le^ ¡on ¡local ¡storage ¡devices ¡unless ¡ explicitly ¡asked. ” ¡ – “ All ¡outgoing ¡connecFons ¡to ¡the ¡Internet ¡are ¡ forced ¡to ¡go ¡through ¡the ¡Tor ¡network ” ¡ • Backtrack ¡[2] ¡ – ¡ “ ability ¡to ¡perform ¡assessments ¡in ¡a ¡purely ¡naFve ¡ environment ¡dedicated ¡to ¡hacking. ” ¡ ¡ 11 ¡

  12. What ¡It ¡Really ¡Means… ¡ • InvesFgators ¡without ¡deep ¡kernel ¡internals ¡ knowledge ¡and ¡programming ¡skill ¡are ¡basically ¡ hopeless ¡ • It ¡is ¡well ¡known ¡that ¡the ¡use ¡of ¡live ¡CDs ¡is ¡ going ¡to ¡defeat ¡most ¡invesFgaFons ¡ – Main ¡moFvaFon ¡for ¡this ¡work ¡ – Plenty ¡anecdotal ¡evidence ¡of ¡this ¡can ¡be ¡found ¡ through ¡Google ¡searches ¡ 12 ¡

  13. ¡What ¡is ¡the ¡SoluFon? ¡ • Memory ¡Analysis! ¡ • It ¡is ¡the ¡only ¡method ¡we ¡have ¡available… ¡ • This ¡Analysis ¡gives ¡us: ¡ – The ¡complete ¡file ¡system ¡structure ¡ including ¡file ¡contents ¡and ¡metadata ¡ – Deleted ¡Files ¡(Maybe) ¡ – Userland ¡process ¡memory ¡and ¡file ¡system ¡ informaFon ¡ ¡ ¡ 13 ¡

  14. Goal ¡1: ¡Recovering ¡the ¡File ¡System ¡ • Steps ¡needed ¡to ¡achieve ¡this ¡goal: ¡ 1. Understand ¡the ¡in-­‑memory ¡filesystem ¡ 2. Develop ¡an ¡algorithm ¡that ¡can ¡enumerate ¡ directory ¡and ¡files ¡ 3. Recover ¡metadata ¡to ¡enable ¡Fmelining ¡and ¡ other ¡invesFgaFve ¡techniques ¡ 14 ¡

  15. The ¡In-­‑Memory ¡Filesystem ¡ • AUFS ¡(AnotherUnionFS) ¡ – hkp://aufs.sourceforge.net/ ¡ – Used ¡by ¡TAILS, ¡Backtrack, ¡Ubuntu ¡10.04 ¡installer, ¡ and ¡a ¡number ¡of ¡other ¡Live ¡CDs ¡ – Not ¡included ¡in ¡the ¡vanilla ¡kernel, ¡loaded ¡as ¡an ¡ external ¡module ¡ 15 ¡

  16. AUFS ¡Internals ¡ • Stackable ¡filesystem ¡ • Presents ¡a ¡mulFlayer ¡filesystem ¡as ¡a ¡single ¡one ¡to ¡users ¡ • This ¡allows ¡for ¡files ¡created ¡a^er ¡system ¡boot ¡to ¡be ¡ transparently ¡merged ¡on ¡top ¡of ¡read ¡only ¡CD ¡ • Each ¡layer ¡is ¡termed ¡a ¡branch ¡ • In ¡the ¡live ¡CD ¡case, ¡one ¡branch ¡for ¡the ¡CD, ¡and ¡one ¡for ¡all ¡ other ¡files ¡made ¡or ¡changed ¡since ¡boot ¡ ¡ 16 ¡

  17. AUFS ¡Userland ¡View ¡of ¡TAILS ¡ # ¡cat ¡/proc/mounts ¡ Mount aufs ¡/ ¡aufs ¡rw,relaFme,si= 4ef94245 ,noxino ¡ points relevant /dev/loop0 ¡/filesystem.squashfs ¡squashfs ¡ to AUFS tmpfs ¡/live/cow ¡tmpfs ¡ tmpfs ¡/live ¡tmpfs ¡rw,relaFme ¡ The # ¡cat ¡/sys/fs/aufs/si_ 4ef94245 /br0 ¡ mount point of ¡/live/cow=rw ¡ each AUFS # ¡cat ¡/sys/fs/aufs/si_ 4ef94245 /br1 ¡ branch ¡/filesystem.squashfs=rr ¡ ¡ 17 ¡ ¡

  18. Forensics ¡Approach ¡ • No ¡real ¡need ¡to ¡copy ¡files ¡from ¡the ¡read-­‑only ¡ branch ¡ – Just ¡image ¡the ¡CD ¡ • On ¡the ¡other ¡hand, ¡the ¡writable ¡branch ¡ contains ¡every ¡file ¡that ¡was ¡created ¡or ¡ modified ¡since ¡boot ¡ – Including ¡metadata ¡ – No ¡deleted ¡ones ¡though, ¡more ¡on ¡that ¡later ¡ ¡ ¡ 18 ¡

  19. Linux ¡Internals ¡Overview ¡I ¡ • struct ¡dentry ¡ ¡ – Represents ¡a ¡directory ¡entry ¡(directory, ¡file, ¡…) ¡ – Contains ¡the ¡name ¡of ¡the ¡directory ¡entry ¡and ¡a ¡ pointer ¡to ¡its ¡inode ¡structure ¡ • struct ¡inode ¡ – FS ¡generic, ¡in-­‑memory ¡representaFon ¡of ¡a ¡disk ¡inode ¡ – Contains ¡ ¡address_space ¡structure ¡that ¡links ¡an ¡inode ¡ to ¡its ¡file ’ s ¡pages ¡ • struct ¡address_space ¡ – Links ¡physical ¡pages ¡together ¡into ¡something ¡useful ¡ – Holds ¡the ¡search ¡tree ¡of ¡pages ¡for ¡a ¡file ¡ 19 ¡

  20. Linux ¡Internals ¡Overview ¡II ¡ • Page ¡Cache ¡ – Used ¡to ¡store ¡ struct ¡page ¡ structures ¡that ¡ correspond ¡to ¡physical ¡pages ¡ – address_space ¡structures ¡contain ¡linkage ¡into ¡the ¡ page ¡cache ¡that ¡allows ¡for ¡ordered ¡enumeraFon ¡ of ¡all ¡physical ¡pages ¡pertaining ¡to ¡an ¡inode ¡ • Tmpfs ¡ – In-­‑memory ¡filesystem ¡ – Used ¡by ¡TAILS ¡to ¡hold ¡the ¡writable ¡branch ¡ ¡ 20 ¡

Recommend

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst

De-Anonymizing Live CDs through Physical Memory Analysis Andrew Case Senior Security Analyst Speaker Background Computer Science degree from the University of New Orleans Former Security Consultant for Neohapsis Worked for Digital

911 views • 61 slides
Virtual Memory Programmer can assume he/she has infinite amount of physical memory

Virtual Memory Programmer can assume he/she has infinite amount of physical memory

4/27/17 Virtual Memory Idea: Give the programmer the illusion of a large address space while having a small physical memory So that the programmer does not worry about managing physical memory Virtual Memory Programmer can assume

817 views • 12 slides
A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory

A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory

A Few Problems with Physical Addressing Main memory 0: 1: Physical address 2: Virtual Memory 3: (PA) CPU 4: 4 5: Process Abstraction, Part 2: Private Address Space 6: 7: 8: ... M-1: Motivation : why not direct physical memory

376 views • 6 slides
lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9,

lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9,

lecture 16 virtual vs. physical memory - types of physical memory - paging Wed. March 9, 2016 MIPS Memory next three lectures virtual address physical address 514 - 398 - 3740 cell tower

311 views • 27 slides
Virtual Memory Logical address space can therefore be much larger than physical address

Virtual Memory Logical address space can therefore be much larger than physical address

CSC 4103 - Operating Systems Background Spring 2007 Virtual memory separation of user logical memory from physical memory. Only part of the program needs to be in memory for Lecture - XIII execution. Virtual Memory Logical

309 views • 7 slides
Last Class: Memory Management Allocating memory to processes Limited physical memory,

Last Class: Memory Management Allocating memory to processes Limited physical memory,

Last Class: Memory Management Allocating memory to processes Limited physical memory, internal and external fragmentation Paging and segmentation Address translation, efficiency Hardware support (e.g., TLB) Page

513 views • 13 slides
MIPS Memory lecture 16 virtual address physical address

MIPS Memory lecture 16 virtual address physical address

MIPS Memory lecture 16 virtual address physical address virtual vs. physical memory 514 - 398 - 3740 - types of physical memory - paging Wed. March 9, 2016 next three lectures cell tower

460 views • 3 slides
Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists

Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists

1 2 Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists and how its being shared Allows the OS to EE 457 Unit 7c Efficiently share the physical memory between several _______ ___________

380 views • 11 slides
x (Actually, its smaller than that heap Process 3 What goes

x (Actually, its smaller than that heap Process 3 What goes

11/20/15 Virtual Memory Physical Addressing Motivation: why not direct physical memory access? Main memory Address translation with pages 0: 1: Optimizing translation: translation

431 views • 12 slides
Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical

Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical

Last class: Virtual Memory Today: Virtual Memory Uses Efficient Use of Physical Memory Through virtual memory N 2 32 -sized address spaces All isolated by default Uses for memory Make a new process Address

516 views • 22 slides
Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical

Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical

Memory and I/O buses I/O bus 1880Mbps 1056Mbps Memory CPU Crossbar CPU accesses physical memory over a bus Devices access memory over I/O bus with DMA Devices can appear to be a region of memory 1 / 41 Realistic ~2005 PC

1.54k views • 50 slides
L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms

L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms

L2L L2L Live Live to e to e-Lea Learning rning Bridging physical and virtual classrooms using an integrated lecture capture and delivery service Matteo Bertazzo - CINECA InterUniversity Consortium 3 rd TF-Media Task Force meeting,

521 views • 21 slides
Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table,

Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table,

Lecture 19: Virtual Memory Virtual Memory concept, Virtual- physical translation, page table, TLB, Alpha 21264 memory hierarchy 1 Adapted from UC Berkeley CS252 S01 Virtual Memory Virtual memory (VM) allows programs to have the illusion of a

711 views • 23 slides
The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs

The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs

The hard work behind large physical memory allocations in the kernel Vlastimil Babka SUSE Labs vbabka@suse.cz Physical Memory Allocator Physical memory is divided into several zones 1+ zone per NUMA node Binary buddy allocator for

537 views • 51 slides
Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical

Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical

Virtual Memory: Demand Paging and Replacment Virtual Memory Illustrated virtual physical backing executable memory memory storage file (big) (small) header text pageout/eviction text data data idata data BSS wdata symbol user

356 views • 17 slides
Programmed I/O: isolated vs. memory-mapped When we discussed physical addresses of memory, we

Programmed I/O: isolated vs. memory-mapped When we discussed physical addresses of memory, we

COMP 273 20 - memory mapped I/O, polling, DMA Mar. 23, 2016 This lecture we will look at several methods for sending data between an I/O device and either main memory or the CPU. (Recall that we are considering the hard disk to be an I/O

171 views • 6 slides
Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign

Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign

4/12/2017 Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign physical memory to processes 5B. Simple Memory Allocation explicit requests: malloc (sbrk) implicit: program loading, stack

205 views • 8 slides
Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign

Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign

4/14/2018 Memory Management Memory Management 5A. Memory Management and Address Spaces 1. allocate/assign physical memory to processes 5B. Memory Allocation explicit requests: malloc (sbrk) implicit: program loading, stack extension

555 views • 9 slides
UMBC A B M A L T F O U M B C I M Y O R T 1 (12/8/04) I E S R C E O V U

UMBC A B M A L T F O U M B C I M Y O R T 1 (12/8/04) I E S R C E O V U

Advanced VLSI Design Memory CMPE 640 Memory Can be categorized into: Read Write Memory (RWM) Random Access Memory (RAM): static SRAM (faster) verses dynamic DRAM (smaller) structures possible. Access time independent of physical

381 views • 21 slides
EE 457 Unit 7d Virtual Memory 2 Virtual Memory Concept A mechanism for hiding the details of

EE 457 Unit 7d Virtual Memory 2 Virtual Memory Concept A mechanism for hiding the details of

1 EE 457 Unit 7d Virtual Memory 2 Virtual Memory Concept A mechanism for hiding the details of how much physical memory exists and how its being shared Allows the OS to Efficiently share the physical memory between several

821 views • 54 slides
Virtual Memory Separate the concept of: address space (name) from physical memory address

Virtual Memory Separate the concept of: address space (name) from physical memory address

Virtual Memory Separate the concept of: address space (name) from physical memory address (location) Most common example today: wireless (cell) phones Phone number is your id or name Location varies as you move Maintain a Map between name

208 views • 20 slides
Memory Management Address binding Linking, loading Logical vs. physical address

Memory Management Address binding Linking, loading Logical vs. physical address

CPSC 410 / 611 : Operating Systems Memory Management Address binding Linking, loading Logical vs. physical address space Memory partitioning Paging Segmentation Reading: Silberschatz, Chapter 8 Memory

469 views • 12 slides
De-anonymizing Data CompSci 590.03 Instructor: Ashwin

De-anonymizing Data CompSci 590.03 Instructor: Ashwin

Source (h?p://xkcd.org/834/) De-anonymizing Data CompSci 590.03 Instructor: Ashwin Machanavajjhala Lecture 2 : 590.03 Fall 13 1 Outline Recap

1.15k views • 83 slides
Virtual Memory Virtual Memory - The games we play with addresses and the memory behind them

Virtual Memory Virtual Memory - The games we play with addresses and the memory behind them

Virtual Memory Virtual Memory - The games we play with addresses and the memory behind them Address translation - decouple the names of memory locations and their physical locations - arrays that have space to grow without pre-allocating

671 views • 21 slides

More recommend