►
Introducción
►
Otros métodos de adquisición
►
Análisis memoria en plataformas Windows Verificar
la integridad
Recuperación Detección
de datos
procesos ocultos
Conexiones
de red
Representación
►
Herramientas
►
Preguntas
gráfica
Análisis de Red
►
Qué puede contener un volcado de memoria
Procesos en ejecución
Procesos en fase de terminación
Conexiones activas TCP UDP Puertos
Ficheros mapeados Drivers Ejecutables Ficheros
Objetos Caché Direcciones
Web
Passwords Comandos
Elementos
tipeados por consola
ocultos
► La
información que podemos recopilar depende de muchos factores Sistema Time
operativo
Live de la máquina
Tamaño
de la memoria
► Siguiendo
el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones
► Verificar ► Se
la integridad de los datos?
tiene que preparar el sistema para que lo soporte
► NotMyFault
(Sysinternals)
► SystemDump ► LiveKD
(Citrix)
(Sysinternals)
► Teclado
► DumpChk
(Support Tools)
Herramienta
para verificar la integridad de un volcado de memoria
Muy
completa (Uptime, Arquitectura, Equipo, fallo, etc…)
Línea
de comandos
► DumpCheck Creada Nos
o no
(Citrix)
por Dmitry Vostokov
muestra sólo si cumple con la integridad
Entorno
gráfico
► Strings
de Sysinternals
Herramienta
para extraer cadenas (ASCII & UNICODE) de un archivo
Podemos
identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…
► FindStr
(Microsoft nativa)
Herramienta
utilizada para buscar una cadena de texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas podemos extraer gran cantidad de información
►
►
►
Windbg
Poderosa herramienta de depuración
Necesitamos los símbolos para poder trabajar con procesos
Pensada para “todos los públicos”
Mucha granularidad a nivel de comandos
Escalable (Plugins)
Se necesita mucha experiencia
Memparser
Nace con un reto forense de RAM (DFRWS 2005)
Válida sólo para Windows 2000
La más completa en cuanto a funcionalidad
Evoluciona a las KntTools (Pago por licencia)
Ptfinder
Desarrollada en Perl
Extrae información sobre procesos, threads y procesos ocultos (DKOM)
Interpretación gráfica de la memoria
Válida para W2K, XP,XPSP2, W2K3
►
►
Wmft
Creada por Mariusz Burdach (http://forensic.seccure.net)
Demo para BlackHat 2006
Válida para Windows 2003
Memory Analisys Tools
Creada por Harlan Carvey (Windows Incident Response)
Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158)
Válida para Windows 2000
Similar a Memparser
► Volatools Desarrollada
por Komoku Inc
Actualmente
el proyecto está descontinuado
POC
capaz de buscar sockets, puertos, direcciones IP, etc..
Válida
sólo para XP SP2
►
Ptfinder En
todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.
Podemos
los hijos
Ideal
analizar qué procesos son los padres y cuáles
para proyectos forenses
► Pstools
(Sysinternals)
► PtFinder ► Windbg ► Memparser ► Volatools ► Wmft ► Hidden.dll
(Plugin para Windbg)
► Suscripción
gratuita en
[email protected]