Your SlideShare is downloading. ×
0
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Asegúr@IT II - Análisis Forense Memoria Ram

3,727

Published on

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,727
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
203
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1.  
  • 2. <ul><li>Introducción </li></ul><ul><li>Otros métodos de adquisición </li></ul><ul><li>Análisis memoria en plataformas Windows </li></ul><ul><ul><li>Verificar la integridad </li></ul></ul><ul><ul><li>Recuperación de datos </li></ul></ul><ul><ul><li>Detección procesos ocultos </li></ul></ul><ul><ul><li>Conexiones de red </li></ul></ul><ul><ul><li>Representación gráfica </li></ul></ul><ul><li>Herramientas </li></ul><ul><li>Preguntas </li></ul>
  • 3. &nbsp;
  • 4. Análisis de Red
  • 5. <ul><li>Qué puede contener un volcado de memoria </li></ul><ul><ul><li>Procesos en ejecución </li></ul></ul><ul><ul><li>Procesos en fase de terminación </li></ul></ul><ul><ul><li>Conexiones activas </li></ul></ul><ul><ul><ul><li>TCP </li></ul></ul></ul><ul><ul><ul><li>UDP </li></ul></ul></ul><ul><ul><ul><li>Puertos </li></ul></ul></ul><ul><ul><li>Ficheros mapeados </li></ul></ul><ul><ul><ul><li>Drivers </li></ul></ul></ul><ul><ul><ul><li>Ejecutables </li></ul></ul></ul><ul><ul><ul><li>Ficheros </li></ul></ul></ul><ul><ul><li>Objetos Caché </li></ul></ul><ul><ul><ul><li>Direcciones Web </li></ul></ul></ul><ul><ul><ul><li>Passwords </li></ul></ul></ul><ul><ul><ul><li>Comandos tipeados por consola </li></ul></ul></ul><ul><ul><li>Elementos ocultos </li></ul></ul>
  • 6. <ul><li>La información que podemos recopilar depende de muchos factores </li></ul><ul><ul><li>Sistema operativo </li></ul></ul><ul><ul><li>Time Live de la máquina </li></ul></ul><ul><ul><li>Tamaño de la memoria </li></ul></ul>
  • 7. <ul><li>Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. </li></ul><ul><ul><li>Reinicios </li></ul></ul><ul><ul><li>Apagados </li></ul></ul><ul><ul><li>Corrupciones </li></ul></ul><ul><li>Verificar la integridad de los datos? </li></ul><ul><li>Se tiene que preparar el sistema para que lo soporte </li></ul>
  • 8. &nbsp;
  • 9. <ul><li>NotMyFault (Sysinternals) </li></ul><ul><li>SystemDump (Citrix) </li></ul><ul><li>LiveKD (Sysinternals) </li></ul><ul><li>Teclado </li></ul>
  • 10. &nbsp;
  • 11. &nbsp;
  • 12. <ul><li>DumpChk (Support Tools) </li></ul><ul><ul><li>Herramienta para verificar la integridad de un volcado de memoria </li></ul></ul><ul><ul><li>Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) </li></ul></ul><ul><ul><li>Línea de comandos </li></ul></ul><ul><li>DumpCheck (Citrix) </li></ul><ul><ul><li>Creada por Dmitry Vostokov </li></ul></ul><ul><ul><li>Nos muestra sólo si cumple con la integridad o no </li></ul></ul><ul><ul><li>Entorno gráfico </li></ul></ul>
  • 13. &nbsp;
  • 14. <ul><li>Strings de Sysinternals </li></ul><ul><ul><li>Herramienta para extraer cadenas (ASCII &amp; UNICODE) de un archivo </li></ul></ul><ul><ul><li>Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… </li></ul></ul><ul><li>FindStr (Microsoft nativa) </li></ul><ul><ul><li>Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos </li></ul></ul><ul><li>Con la combinación de ambas herramientas podemos extraer gran cantidad de información </li></ul>
  • 15. &nbsp;
  • 16. <ul><li>Windbg </li></ul><ul><ul><li>Poderosa herramienta de depuración </li></ul></ul><ul><ul><li>Necesitamos los símbolos para poder trabajar con procesos </li></ul></ul><ul><ul><li>Pensada para “todos los públicos” </li></ul></ul><ul><ul><li>Mucha granularidad a nivel de comandos </li></ul></ul><ul><ul><li>Escalable (Plugins) </li></ul></ul><ul><ul><li>Se necesita mucha experiencia </li></ul></ul><ul><li>Memparser </li></ul><ul><ul><li>Nace con un reto forense de RAM (DFRWS 2005) </li></ul></ul><ul><ul><li>Válida sólo para Windows 2000 </li></ul></ul><ul><ul><li>La más completa en cuanto a funcionalidad </li></ul></ul><ul><ul><li>Evoluciona a las KntTools (Pago por licencia) </li></ul></ul><ul><li>Ptfinder </li></ul><ul><ul><li>Desarrollada en Perl </li></ul></ul><ul><ul><li>Extrae información sobre procesos, threads y procesos ocultos (DKOM) </li></ul></ul><ul><ul><li>Interpretación gráfica de la memoria </li></ul></ul><ul><ul><li>Válida para W2K, XP,XPSP2, W2K3 </li></ul></ul>
  • 17. <ul><li>Wmft </li></ul><ul><ul><li>Creada por Mariusz Burdach ( http://forensic.seccure.net ) </li></ul></ul><ul><ul><li>Demo para BlackHat 2006 </li></ul></ul><ul><ul><li>Válida para Windows 2003 </li></ul></ul><ul><li>Memory Analisys Tools </li></ul><ul><ul><li>Creada por Harlan Carvey (Windows Incident Response) </li></ul></ul><ul><ul><li>Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158 ) </li></ul></ul><ul><ul><li>Válida para Windows 2000 </li></ul></ul><ul><ul><li>Similar a Memparser </li></ul></ul>
  • 18. &nbsp;
  • 19. <ul><li>Volatools </li></ul><ul><ul><li>Desarrollada por Komoku Inc </li></ul></ul><ul><ul><li>Actualmente el proyecto está descontinuado </li></ul></ul><ul><ul><li>POC capaz de buscar sockets, puertos, direcciones IP, etc.. </li></ul></ul><ul><ul><li>Válida sólo para XP SP2 </li></ul></ul>
  • 20. &nbsp;
  • 21. <ul><li>Ptfinder </li></ul><ul><ul><li>En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. </li></ul></ul><ul><ul><li>Podemos analizar qué procesos son los padres y cuáles los hijos </li></ul></ul><ul><ul><li>Ideal para proyectos forenses </li></ul></ul>
  • 22. &nbsp;
  • 23. &nbsp;
  • 24. <ul><li>Pstools (Sysinternals) </li></ul><ul><li>PtFinder </li></ul><ul><li>Windbg </li></ul><ul><li>Memparser </li></ul><ul><li>Volatools </li></ul><ul><li>Wmft </li></ul><ul><li>Hidden.dll (Plugin para Windbg) </li></ul>
  • 25. &nbsp;
  • 26. &nbsp;
  • 27. <ul><li>Suscripción gratuita en technews@informatica64.com </li></ul>
  • 28. &nbsp;
  • 29. &nbsp;
  • 30. &nbsp;

×