| Popis: |
O número de dispositivos conectados à Internet está cada vez mais a aumentar, com isto também o número de ataques nesta vertente tem aumentado bastante. Existe cada vez mais a necessidade de proceder a algum tipo de análise aos sistemas digitais que todos nós usamos no nosso dia-a-dia e para tal temos a análise forense digital. Nos dispositivos temos diversos componentes e sistemas internos que podem ser alvo de uma análise forense digital, um dos componentes que tem ganho cada vez mais relevância é a análise de memória RAM. As análises a discos de armazenamento já era algo comum, no entanto muito malware atualmente acaba por esconder ou eliminar este tipo de informação após execução. Algum malware consegue até executar apenas na RAM o que torna a análise desta memória essencial para uma análise forense. Uma das ferramentas mais populares para este tipo de análise é o Volatility que contém diversos módulos que permitem a análise de RAM. Algo também bastante usado são as regras Yara, que permitem efetuar pesquisas na RAM, em ficheiros de crash, ou até mesmo em imagens de máquinas virtuais. É possível utilizar as regras Yara juntamente com o Volatility, uma vez que existe um módulo no Volatility que permite esta utilização, sendo este módulo denominado yarascan. No entanto o yarascan tem algumas limitações. Este projeto é desenvolveu um módulo que mitiga algumas dessas limitações, sendo a principal que apenas é possível correr um ficheiro de regras Yara com cada execução do yarascan. Este módulo desenvolvido pretende também melhorar a forma como o resultado é apresentado ao utilizador, sendo que para tal vai ser apresentado em formato CSV. O módulo criado tem também como objetivo interagir com o GitHub de forma a disponibilizar alguns repositórios de regras Yara ao utilizador. Os resultados obtidos com este projeto permitem verificar que o módulo criado é realmente mais eficiente quando existem diversos ficheiros de regras Yara e que os resultados são apresentados de uma forma mais amigável para o utilizador. |
