Analisis Forense En Memoria Ram

  • Uploaded by: PERUHACKING
  • 0
  • 0
  • June 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Analisis Forense En Memoria Ram as PDF for free.

More details

  • Words: 484
  • Pages: 30


Introducción



Otros métodos de adquisición



Análisis memoria en plataformas Windows  Verificar

la integridad

 Recuperación  Detección

de datos

procesos ocultos

 Conexiones

de red

 Representación



Herramientas



Preguntas

gráfica

Análisis de Red



Qué puede contener un volcado de memoria 

Procesos en ejecución



Procesos en fase de terminación



Conexiones activas TCP UDP Puertos



Ficheros mapeados Drivers Ejecutables Ficheros



Objetos Caché Direcciones

Web

Passwords Comandos

 Elementos

tipeados por consola

ocultos

► La

información que podemos recopilar depende de muchos factores Sistema Time

operativo

Live de la máquina

Tamaño

de la memoria

► Siguiendo

el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones

► Verificar ► Se

la integridad de los datos?

tiene que preparar el sistema para que lo soporte

► NotMyFault

(Sysinternals)

► SystemDump ► LiveKD

(Citrix)

(Sysinternals)

► Teclado

► DumpChk

(Support Tools)

 Herramienta

para verificar la integridad de un volcado de memoria

 Muy

completa (Uptime, Arquitectura, Equipo, fallo, etc…)

 Línea

de comandos

► DumpCheck  Creada  Nos

o no

(Citrix)

por Dmitry Vostokov

muestra sólo si cumple con la integridad

 Entorno

gráfico

► Strings

de Sysinternals

Herramienta

para extraer cadenas (ASCII & UNICODE) de un archivo

Podemos

identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…

► FindStr

(Microsoft nativa)

Herramienta

utilizada para buscar una cadena de texto en el interior de uno o varios archivos

Con la combinación de ambas herramientas podemos extraer gran cantidad de información







Windbg 

Poderosa herramienta de depuración



Necesitamos los símbolos para poder trabajar con procesos



Pensada para “todos los públicos”



Mucha granularidad a nivel de comandos



Escalable (Plugins)



Se necesita mucha experiencia

Memparser 

Nace con un reto forense de RAM (DFRWS 2005)



Válida sólo para Windows 2000



La más completa en cuanto a funcionalidad



Evoluciona a las KntTools (Pago por licencia)

Ptfinder 

Desarrollada en Perl



Extrae información sobre procesos, threads y procesos ocultos (DKOM)



Interpretación gráfica de la memoria



Válida para W2K, XP,XPSP2, W2K3





Wmft 

Creada por Mariusz Burdach (http://forensic.seccure.net)



Demo para BlackHat 2006



Válida para Windows 2003

Memory Analisys Tools 

Creada por Harlan Carvey (Windows Incident Response)



Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158)



Válida para Windows 2000



Similar a Memparser

► Volatools Desarrollada

por Komoku Inc

Actualmente

el proyecto está descontinuado

POC

capaz de buscar sockets, puertos, direcciones IP, etc..

Válida

sólo para XP SP2



Ptfinder  En

todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.

 Podemos

los hijos

 Ideal

analizar qué procesos son los padres y cuáles

para proyectos forenses

► Pstools

(Sysinternals)

► PtFinder ► Windbg ► Memparser ► Volatools ► Wmft ► Hidden.dll

(Plugin para Windbg)

► Suscripción

gratuita en [email protected]

Related Documents

Memoria Ram
June 2020 5
La Memoria Ram
November 2019 9
Jc Memoria Ram
April 2020 2
Guia 06 Memoria Ram
November 2019 7
Memoria Ram[1]
April 2020 5

More Documents from "Nelson Leonardo"