asegúr@it ii - análisis forense memoria ram
DESCRIPTION
Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en BarcelonaTRANSCRIPT
![Page 1: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/1.jpg)
![Page 2: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/2.jpg)
► Introducción
► Otros métodos de adquisición
► Análisis memoria en plataformas WindowsVerificar la integridadRecuperación de datosDetección procesos ocultosConexiones de redRepresentación gráfica
► Herramientas
► Preguntas
![Page 3: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/3.jpg)
![Page 4: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/4.jpg)
Análisis de Red
![Page 5: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/5.jpg)
► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas
TCPUDPPuertos
Ficheros mapeadosDriversEjecutablesFicheros
Objetos Caché Direcciones WebPasswordsComandos tipeados por consola
Elementos ocultos
![Page 6: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/6.jpg)
►La información que podemos recopilar depende de muchos factores
Sistema operativoTime Live de la máquinaTamaño de la memoria
![Page 7: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/7.jpg)
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
ReiniciosApagadosCorrupciones
►Verificar la integridad de los datos?
►Se tiene que preparar el sistema para que lo soporte
![Page 8: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/8.jpg)
![Page 9: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/9.jpg)
►NotMyFault (Sysinternals)
►SystemDump (Citrix)
►LiveKD (Sysinternals)
►Teclado
![Page 10: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/10.jpg)
![Page 11: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/11.jpg)
![Page 12: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/12.jpg)
►DumpChk (Support Tools)Herramienta para verificar la integridad de un
volcado de memoriaMuy completa (Uptime, Arquitectura, Equipo, fallo,
etc…)Línea de comandos
►DumpCheck (Citrix)Creada por Dmitry Vostokov
Nos muestra sólo si cumple con la integridad o noEntorno gráfico
![Page 13: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/13.jpg)
![Page 14: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/14.jpg)
►Strings de SysinternalsHerramienta para extraer cadenas (ASCII &
UNICODE) de un archivoPodemos identificar objetos almacenados en
memoria, datos persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas podemos extraer gran cantidad de información
![Page 15: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/15.jpg)
![Page 16: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/16.jpg)
► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia
► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia)
► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
![Page 17: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/17.jpg)
► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003
► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
![Page 18: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/18.jpg)
![Page 19: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/19.jpg)
►VolatoolsDesarrollada por Komoku IncActualmente el proyecto está descontinuadoPOC capaz de buscar sockets, puertos, direcciones
IP, etc..Válida sólo para XP SP2
![Page 20: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/20.jpg)
![Page 21: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/21.jpg)
► Ptfinder En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
![Page 22: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/22.jpg)
![Page 23: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/23.jpg)
![Page 24: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/24.jpg)
►Pstools (Sysinternals)
►PtFinder
►Windbg
►Memparser
►Volatools
►Wmft
►Hidden.dll (Plugin para Windbg)
![Page 25: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/25.jpg)
![Page 26: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/26.jpg)
![Page 27: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/27.jpg)
►Suscripción gratuita en [email protected]
![Page 28: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/28.jpg)
![Page 29: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/29.jpg)
![Page 30: Asegúr@IT II - Análisis Forense Memoria Ram](https://reader034.vdocuments.net/reader034/viewer/2022042511/559bacd21a28ab4f358b46f3/html5/thumbnails/30.jpg)