Analisis Forense En Memoria Ram

►

Introducción

►

Otros métodos de adquisición

►

Análisis memoria en plataformas Windows  Verificar

la integridad

 Recuperación  Detección

de datos

procesos ocultos

 Conexiones

de red

 Representación

►

Herramientas

►

Preguntas

gráfica

Análisis de Red

►

Qué puede contener un volcado de memoria 

Procesos en ejecución



Procesos en fase de terminación



Conexiones activas TCP UDP Puertos



Ficheros mapeados Drivers Ejecutables Ficheros



Objetos Caché Direcciones

Web

Passwords Comandos

 Elementos

tipeados por consola

ocultos

► La

información que podemos recopilar depende de muchos factores Sistema Time

operativo

Live de la máquina

Tamaño

de la memoria

► Siguiendo

el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones

► Verificar ► Se

la integridad de los datos?

tiene que preparar el sistema para que lo soporte

► NotMyFault

(Sysinternals)

► SystemDump ► LiveKD

(Citrix)

(Sysinternals)

► Teclado

► DumpChk

(Support Tools)

 Herramienta

para verificar la integridad de un volcado de memoria

 Muy

completa (Uptime, Arquitectura, Equipo, fallo, etc…)

 Línea

de comandos

► DumpCheck  Creada  Nos

o no

(Citrix)

por Dmitry Vostokov

muestra sólo si cumple con la integridad

 Entorno

gráfico

► Strings

de Sysinternals

Herramienta

para extraer cadenas (ASCII & UNICODE) de un archivo

Podemos

identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…

► FindStr

(Microsoft nativa)

Herramienta

utilizada para buscar una cadena de texto en el interior de uno o varios archivos

Con la combinación de ambas herramientas podemos extraer gran cantidad de información

►

►

►

Windbg 

Poderosa herramienta de depuración



Necesitamos los símbolos para poder trabajar con procesos



Pensada para “todos los públicos”



Mucha granularidad a nivel de comandos



Escalable (Plugins)



Se necesita mucha experiencia

Memparser 

Nace con un reto forense de RAM (DFRWS 2005)



Válida sólo para Windows 2000



La más completa en cuanto a funcionalidad



Evoluciona a las KntTools (Pago por licencia)

Ptfinder 

Desarrollada en Perl



Extrae información sobre procesos, threads y procesos ocultos (DKOM)



Interpretación gráfica de la memoria



Válida para W2K, XP,XPSP2, W2K3

►

►

Wmft 

Creada por Mariusz Burdach (http://forensic.seccure.net)



Demo para BlackHat 2006



Válida para Windows 2003

Memory Analisys Tools 

Creada por Harlan Carvey (Windows Incident Response)



Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158)



Válida para Windows 2000



Similar a Memparser

► Volatools Desarrollada

por Komoku Inc

Actualmente

el proyecto está descontinuado

POC

capaz de buscar sockets, puertos, direcciones IP, etc..

Válida

sólo para XP SP2

►

Ptfinder  En

todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.

 Podemos

los hijos

 Ideal

analizar qué procesos son los padres y cuáles

para proyectos forenses

► Pstools

(Sysinternals)

► PtFinder ► Windbg ► Memparser ► Volatools ► Wmft ► Hidden.dll

(Plugin para Windbg)

► Suscripción

gratuita en [email protected]