論文の概要: A Comprehensive Quantification of Inconsistencies in Memory Dumps
- arxiv url: http://arxiv.org/abs/2503.15065v1
- Date: Wed, 19 Mar 2025 10:02:54 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-20 17:45:40.92528
- Title: A Comprehensive Quantification of Inconsistencies in Memory Dumps
- Title(参考訳): メモリダンプにおける不整合の包括的定量化
- Authors: Andrea Oliveri, Davide Balzarotti,
- Abstract要約: 我々は、メモリ取得プロセス中にOSカーネルが実行する書き込み操作を全て追跡するシステムを開発した。
我々は、異なる取得モード、ファイルシステム、ハードウェアターゲットがダンプ中のカーネル書き込みの頻度にどのように影響するかを定量化する。
- 参考スコア(独自算出の注目度): 13.796554685139855
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Memory forensics is a powerful technique commonly adopted to investigate compromised machines and to detect stealthy computer attacks that do not store data on non-volatile storage. To employ this technique effectively, the analyst has to first acquire a faithful copy of the system's volatile memory after the incident. However, almost all memory acquisition tools capture the content of physical memory without stopping the system's activity and by following the ascending order of the physical pages, which can lead to inconsistencies and errors in the dump. In this paper we developed a system to track all write operations performed by the OS kernel during a memory acquisition process. This allows us to quantify, for the first time, the exact number and type of inconsistencies observed in memory dumps. We examine the runtime activity of three different operating systems and the way the manage physical memory. Then, focusing on Linux, we quantify how different acquisition modes, file systems, and hardware targets influence the frequency of kernel writes during the dump. We also analyze the impact of inconsistencies on the reconstruction of page tables and major kernel data structures used by Volatility to extract forensic artifacts. Our results show that inconsistencies are very common and that their presence can undermine the reliability and validity of memory forensics analysis.
- Abstract(参考訳): メモリフォサイシクス(Memory forensics)は、侵入されたマシンを調査し、不揮発性ストレージにデータを格納しないステルスなコンピュータ攻撃を検出するために一般的に用いられる強力な技術である。
この手法を効果的に活用するには、分析者はまず、インシデント後のシステムの揮発性メモリの忠実なコピーを取得する必要がある。
しかし、ほとんどのメモリ取得ツールは、システムの動作を停止させることなく物理的メモリの内容をキャプチャし、物理ページの上昇順序に従うことで、ダンプ内の矛盾やエラーを引き起こす可能性がある。
本稿では,メモリ取得プロセス中にOSカーネルが実行した書き込み操作をすべて追跡するシステムを開発した。
これにより、メモリダンプで観測された正確な数と不整合のタイプを、初めて定量化できます。
本稿では,3つのオペレーティングシステムのランタイムアクティビティと物理メモリ管理方法について検討する。
次に、Linuxに焦点を当て、異なる取得モード、ファイルシステム、ハードウェアターゲットがダンプ中のカーネル書き込みの頻度にどのように影響するかを定量化する。
また,不整合がページテーブルやVolatilityが法医学的アーティファクトの抽出に用いた主要なカーネルデータ構造の再構築に与える影響を解析した。
以上の結果から,不整合は非常に一般的であり,その存在がメモリ鑑定解析の信頼性や妥当性を損なう可能性が示唆された。
関連論文リスト
- LeakGuard: Detecting Memory Leaks Accurately and Scalably [3.256598917442277]
LeakGuardは、正確性とスケーラビリティの十分なバランスを提供するメモリリーク検出ツールである。
正確性のために、LeakGuardはライブラリと開発者が定義したメモリ割り当てとトランザクションロケーション関数の挙動を分析する。
スケーラビリティのために、LeakGuardは関数の要約と制約の少ないシンボル実行技術を用いて、興味のある各関数を独立に調べる。
論文 参考訳(メタデータ) (2025-04-06T09:11:37Z) - Bridging the Semantic Gap in Virtual Machine Introspection and Forensic Memory Analysis [0.6372911857214884]
セマンティックギャップ(Semantic Gap)とは、特定のツールや専門知識を使わずに生のメモリデータを解釈することの難しさである。
先進的な知識,メタデータ,エンジニアリング機能がVMIやFMAにどのように役立つかを検討する。
提案手法は,F1スコアを80%以上獲得することで,メタデータの充実によってパフォーマンスが向上することを示す。
論文 参考訳(メタデータ) (2025-03-07T14:51:32Z) - SHIELD: Secure Host-Independent Extensible Logging for Tamper-Proof Detection and Real-Time Mitigation of Ransomware Threats [17.861324495723487]
ShiELDはFPGAベースのオープンソースSATAとNetwork Block Device技術を利用した検出アーキテクチャである。
ターゲットデバイス上で実行されるソフトウェアのために、ディスクアクティビティを継続的に観察するための、ホスト外、タンパー保護測定を提供する。
ShiELDの堅牢なホスト非依存およびハードウェア支援メトリクスは、検出の基礎であり、プログラムの実行を観察し、ストレージレベルで悪意のあるアクティビティを検出することができる。
論文 参考訳(メタデータ) (2025-01-28T01:33:03Z) - Blindfold: Confidential Memory Management by Untrusted Operating System [1.4801853435122903]
既存の Confidential Computing (CC) ソリューションは、OSから機密メモリを隠蔽し、秘密性を達成するために暗号化する。
本稿では,Blindfold というCC設計で合成したこれらの制限を克服するための実験結果について述べる。
Blindfoldは、Guardianと呼ばれるカーネルよりも高い特権レベルで実行される、小さな信頼できるソフトウェアコンポーネントに依存している。
論文 参考訳(メタデータ) (2024-12-02T02:40:05Z) - GuardFS: a File System for Integrated Detection and Mitigation of Linux-based Ransomware [8.576433180938004]
GuardFSは、ランサムウェアの検出と緩和を統合するファイルシステムベースのアプローチである。
bespokeオーバーレイファイルシステムを使用して、ファイルにアクセスする前にデータを抽出する。
このデータに基づいてトレーニングされたモデルは、ファイルシステムへのアクセスを難なくし、遅延し、追跡する3つの新しい防御構成によって使用される。
論文 参考訳(メタデータ) (2024-01-31T15:33:29Z) - Black-box Unsupervised Domain Adaptation with Bi-directional
Atkinson-Shiffrin Memory [59.51934126717572]
Black-box Unsupervised Domain adaptation (UDA)は、トレーニング中にソースデータまたはソースモデルにアクセスすることなく、ターゲットデータのソース予測で学習する。
両方向の記憶機構であるBiMemを提案する。
BiMemは、画像分類、セマンティックセグメンテーション、オブジェクト検出など、さまざまな視覚的タスクに一貫して優れたドメイン適応性能を実現する。
論文 参考訳(メタデータ) (2023-08-25T08:06:48Z) - Recurrent Dynamic Embedding for Video Object Segmentation [54.52527157232795]
一定サイズのメモリバンクを構築するためにRDE(Recurrent Dynamic Embedding)を提案する。
本稿では, SAM を長時間の動画でより堅牢にするため, トレーニング段階での無バイアス誘導損失を提案する。
また、メモリバンクの異なる品質のマスクの埋め込みをネットワークが修復できるように、新たな自己補正戦略を設計する。
論文 参考訳(メタデータ) (2022-05-08T02:24:43Z) - Memory-Guided Semantic Learning Network for Temporal Sentence Grounding [55.31041933103645]
本稿では,TSGタスクにおいて稀に出現しないコンテンツを学習し,記憶するメモリ拡張ネットワークを提案する。
MGSL-Netは、クロスモーダル・インターアクション・モジュール、メモリ拡張モジュール、異種アテンション・モジュールの3つの主要な部分で構成されている。
論文 参考訳(メタデータ) (2022-01-03T02:32:06Z) - Kernel Continual Learning [117.79080100313722]
カーネル連続学習は、破滅的な忘れ事に取り組むための、シンプルだが効果的な連続学習の変種である。
エピソードメモリユニットは、カーネルリッジ回帰に基づいてタスク固有の分類器を学ぶために、各タスクのサンプルのサブセットを格納する。
タスク毎にデータ駆動カーネルを学ぶための変動ランダム機能。
論文 参考訳(メタデータ) (2021-07-12T22:09:30Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z) - DMV: Visual Object Tracking via Part-level Dense Memory and Voting-based
Retrieval [61.366644088881735]
DMVと呼ばれる部分レベル高密度メモリと投票ベースの検索による新しいメモリベースのトラッカーを提案する。
また,メモリの信頼できない情報をフィルタリングする新たな投票機構を提案する。
論文 参考訳(メタデータ) (2020-03-20T10:05:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。