論文の概要: A Comprehensive Quantification of Inconsistencies in Memory Dumps

• arxiv url: http://arxiv.org/abs/2503.15065v1
• Date: Wed, 19 Mar 2025 10:02:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-20 15:21:33.299017
• Title: A Comprehensive Quantification of Inconsistencies in Memory Dumps
• Title（参考訳）: メモリダンプにおける不整合の包括的定量化
• Authors: Andrea Oliveri, Davide Balzarotti,
• Abstract要約: 我々は、メモリ取得プロセス中にOSカーネルが実行する書き込み操作を全て追跡するシステムを開発した。 我々は、異なる取得モード、ファイルシステム、ハードウェアターゲットがダンプ中のカーネル書き込みの頻度にどのように影響するかを定量化する。
• 参考スコア（独自算出の注目度）: 13.796554685139855
• License:
• Abstract: Memory forensics is a powerful technique commonly adopted to investigate compromised machines and to detect stealthy computer attacks that do not store data on non-volatile storage. To employ this technique effectively, the analyst has to first acquire a faithful copy of the system's volatile memory after the incident. However, almost all memory acquisition tools capture the content of physical memory without stopping the system's activity and by following the ascending order of the physical pages, which can lead to inconsistencies and errors in the dump. In this paper we developed a system to track all write operations performed by the OS kernel during a memory acquisition process. This allows us to quantify, for the first time, the exact number and type of inconsistencies observed in memory dumps. We examine the runtime activity of three different operating systems and the way the manage physical memory. Then, focusing on Linux, we quantify how different acquisition modes, file systems, and hardware targets influence the frequency of kernel writes during the dump. We also analyze the impact of inconsistencies on the reconstruction of page tables and major kernel data structures used by Volatility to extract forensic artifacts. Our results show that inconsistencies are very common and that their presence can undermine the reliability and validity of memory forensics analysis.
• Abstract（参考訳）: メモリフォサイシクス(Memory forensics)は、侵入されたマシンを調査し、不揮発性ストレージにデータを格納しないステルスなコンピュータ攻撃を検出するために一般的に用いられる強力な技術である。 この手法を効果的に活用するには、分析者はまず、インシデント後のシステムの揮発性メモリの忠実なコピーを取得する必要がある。 しかし、ほとんどのメモリ取得ツールは、システムの動作を停止させることなく物理的メモリの内容をキャプチャし、物理ページの上昇順序に従うことで、ダンプ内の矛盾やエラーを引き起こす可能性がある。 本稿では,メモリ取得プロセス中にOSカーネルが実行した書き込み操作をすべて追跡するシステムを開発した。 これにより、メモリダンプで観測された正確な数と不整合のタイプを、初めて定量化できます。 本稿では,3つのオペレーティングシステムのランタイムアクティビティと物理メモリ管理方法について検討する。 次に、Linuxに焦点を当て、異なる取得モード、ファイルシステム、ハードウェアターゲットがダンプ中のカーネル書き込みの頻度にどのように影響するかを定量化する。 また,不整合がページテーブルやVolatilityが法医学的アーティファクトの抽出に用いた主要なカーネルデータ構造の再構築に与える影響を解析した。 以上の結果から,不整合は非常に一般的であり,その存在がメモリ鑑定解析の信頼性や妥当性を損なう可能性が示唆された。

関連論文リスト

• On the Structural Memory of LLM Agents [20.529239764968654]
  メモリは、大規模言語モデル(LLM)ベースのエージェントが複雑で長期的な相互作用を行えるようにするための重要な役割を担っている。 本稿では,メモリ構造とメモリ検索手法がLCMエージェントの性能に与える影響について検討する。
  論文  参考訳（メタデータ） (2024-12-17T04:30:00Z)
• Blindfold: Confidential Memory Management by Untrusted Operating System [1.4801853435122903]
  既存の Confidential Computing (CC) ソリューションは、OSから機密メモリを隠蔽し、秘密性を達成するために暗号化する。 本稿では,Blindfold というCC設計で合成したこれらの制限を克服するための実験結果について述べる。 Blindfoldは、Guardianと呼ばれるカーネルよりも高い特権レベルで実行される、小さな信頼できるソフトウェアコンポーネントに依存している。
  論文  参考訳（メタデータ） (2024-12-02T02:40:05Z)
• The Reversing Machine: Reconstructing Memory Assumptions [2.66610643553864]
  悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 textitThe Reversing Machine (TRM) は,リバースエンジニアリングのための新しいハイパーバイザベースのメモリイントロスペクション設計である。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。
  論文  参考訳（メタデータ） (2024-05-01T03:48:22Z)
• GuardFS: a File System for Integrated Detection and Mitigation of Linux-based Ransomware [8.576433180938004]
  GuardFSは、ランサムウェアの検出と緩和を統合するファイルシステムベースのアプローチである。 bespokeオーバーレイファイルシステムを使用して、ファイルにアクセスする前にデータを抽出する。 このデータに基づいてトレーニングされたモデルは、ファイルシステムへのアクセスを難なくし、遅延し、追跡する3つの新しい防御構成によって使用される。
  論文  参考訳（メタデータ） (2024-01-31T15:33:29Z)
• Black-box Unsupervised Domain Adaptation with Bi-directional Atkinson-Shiffrin Memory [59.51934126717572]
  Black-box Unsupervised Domain adaptation (UDA)は、トレーニング中にソースデータまたはソースモデルにアクセスすることなく、ターゲットデータのソース予測で学習する。 両方向の記憶機構であるBiMemを提案する。 BiMemは、画像分類、セマンティックセグメンテーション、オブジェクト検出など、さまざまな視覚的タスクに一貫して優れたドメイン適応性能を実現する。
  論文  参考訳（メタデータ） (2023-08-25T08:06:48Z)
• Recurrent Dynamic Embedding for Video Object Segmentation [54.52527157232795]
  一定サイズのメモリバンクを構築するためにRDE(Recurrent Dynamic Embedding)を提案する。 本稿では, SAM を長時間の動画でより堅牢にするため, トレーニング段階での無バイアス誘導損失を提案する。 また、メモリバンクの異なる品質のマスクの埋め込みをネットワークが修復できるように、新たな自己補正戦略を設計する。
  論文  参考訳（メタデータ） (2022-05-08T02:24:43Z)
• Memory-Guided Semantic Learning Network for Temporal Sentence Grounding [55.31041933103645]
  本稿では,TSGタスクにおいて稀に出現しないコンテンツを学習し,記憶するメモリ拡張ネットワークを提案する。 MGSL-Netは、クロスモーダル・インターアクション・モジュール、メモリ拡張モジュール、異種アテンション・モジュールの3つの主要な部分で構成されている。
  論文  参考訳（メタデータ） (2022-01-03T02:32:06Z)
• Kernel Continual Learning [117.79080100313722]
  カーネル連続学習は、破滅的な忘れ事に取り組むための、シンプルだが効果的な連続学習の変種である。 エピソードメモリユニットは、カーネルリッジ回帰に基づいてタスク固有の分類器を学ぶために、各タスクのサンプルのサブセットを格納する。 タスク毎にデータ駆動カーネルを学ぶための変動ランダム機能。
  論文  参考訳（メタデータ） (2021-07-12T22:09:30Z)
• Neural Storage: A New Paradigm of Elastic Memory [4.307341575886927]
  コンピュータメモリ内のデータの保存と検索は、システム性能において大きな役割を果たす。 我々は、脳にインスパイアされた学習記憶パラダイムであるNeural Storage(NS)を導入し、メモリをフレキシブルなニューラルメモリネットワークとして構成する。 NSは2つの代表アプリケーションに対してメモリアクセス性能を大幅に改善する。
  論文  参考訳（メタデータ） (2021-01-07T19:19:25Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• DMV: Visual Object Tracking via Part-level Dense Memory and Voting-based Retrieval [61.366644088881735]
  DMVと呼ばれる部分レベル高密度メモリと投票ベースの検索による新しいメモリベースのトラッカーを提案する。 また,メモリの信頼できない情報をフィルタリングする新たな投票機構を提案する。
  論文  参考訳（メタデータ） (2020-03-20T10:05:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。