Une approche à connaissance ulle de l’analyse forensique de la mémoire volatile
Auteur / Autrice : | Andrea Oliveri |
Direction : | Davide Balzarotti |
Type : | Thèse de doctorat |
Discipline(s) : | Sciences de l'ingénieur |
Date : | Soutenance le 04/10/2023 |
Etablissement(s) : | Sorbonne université |
Ecole(s) doctorale(s) : | École doctorale Informatique, télécommunications et électronique de Paris (1992-...) |
Partenaire(s) de recherche : | Laboratoire : Institut EURECOM (Sophia-Antipolis, Alpes-Maritimes) |
Jury : | Président / Présidente : Aurélien Francillon |
Examinateurs / Examinatrices : Fabio Pagani, Sarah Zennou | |
Rapporteurs / Rapporteuses : Stefano Zanero, Andrea Lanzi |
Résumé
L'essor rapide des appareils embarqués et des objets IoT entraîne une multiplication des systèmes d'exploitation et des architectures de processeurs, qui ne sont généralement pas pris en charge par les outils forensiques actuels et nécessitent un effort considérable pour être adaptés. Pour surmonter ce problème, nous introduisons, le concept d’analyse forensique de la mémoire à connaissance nulle : réaliser une analyse forensique de la mémoire sans aucune connaissance du système d’exploitation sous-jacent. En supposant que nous ayons effectué un dump mémoire du système d’exploitation inconnu, en utilisant uniquement les informations dérivées de la configuration matérielle de la machine, nous affirmons qu’il est possible de reconstruire l’espace d’adressage du noyau de manière indépendante du système d’exploitation. À partir de ceux-ci, il est possible de reconstruire les structures de données du noyau en mémoire en utilisant uniquement leur topologie.