• Like
Asegúr@IT II - Análisis Forense Memoria Ram
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Asegúr@IT II - Análisis Forense Memoria Ram

  • 3,634 views
Published

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,634
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
199
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1.  
  • 2.
    • Introducción
    • Otros métodos de adquisición
    • Análisis memoria en plataformas Windows
      • Verificar la integridad
      • Recuperación de datos
      • Detección procesos ocultos
      • Conexiones de red
      • Representación gráfica
    • Herramientas
    • Preguntas
  • 3.  
  • 4. Análisis de Red
  • 5.
    • Qué puede contener un volcado de memoria
      • Procesos en ejecución
      • Procesos en fase de terminación
      • Conexiones activas
        • TCP
        • UDP
        • Puertos
      • Ficheros mapeados
        • Drivers
        • Ejecutables
        • Ficheros
      • Objetos Caché
        • Direcciones Web
        • Passwords
        • Comandos tipeados por consola
      • Elementos ocultos
  • 6.
    • La información que podemos recopilar depende de muchos factores
      • Sistema operativo
      • Time Live de la máquina
      • Tamaño de la memoria
  • 7.
    • Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
      • Reinicios
      • Apagados
      • Corrupciones
    • Verificar la integridad de los datos?
    • Se tiene que preparar el sistema para que lo soporte
  • 8.  
  • 9.
    • NotMyFault (Sysinternals)
    • SystemDump (Citrix)
    • LiveKD (Sysinternals)
    • Teclado
  • 10.  
  • 11.  
  • 12.
    • DumpChk (Support Tools)
      • Herramienta para verificar la integridad de un volcado de memoria
      • Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…)
      • Línea de comandos
    • DumpCheck (Citrix)
      • Creada por Dmitry Vostokov
      • Nos muestra sólo si cumple con la integridad o no
      • Entorno gráfico
  • 13.  
  • 14.
    • Strings de Sysinternals
      • Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo
      • Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…
    • FindStr (Microsoft nativa)
      • Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos
    • Con la combinación de ambas herramientas podemos extraer gran cantidad de información
  • 15.  
  • 16.
    • Windbg
      • Poderosa herramienta de depuración
      • Necesitamos los símbolos para poder trabajar con procesos
      • Pensada para “todos los públicos”
      • Mucha granularidad a nivel de comandos
      • Escalable (Plugins)
      • Se necesita mucha experiencia
    • Memparser
      • Nace con un reto forense de RAM (DFRWS 2005)
      • Válida sólo para Windows 2000
      • La más completa en cuanto a funcionalidad
      • Evoluciona a las KntTools (Pago por licencia)
    • Ptfinder
      • Desarrollada en Perl
      • Extrae información sobre procesos, threads y procesos ocultos (DKOM)
      • Interpretación gráfica de la memoria
      • Válida para W2K, XP,XPSP2, W2K3
  • 17.
    • Wmft
      • Creada por Mariusz Burdach ( http://forensic.seccure.net )
      • Demo para BlackHat 2006
      • Válida para Windows 2003
    • Memory Analisys Tools
      • Creada por Harlan Carvey (Windows Incident Response)
      • Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158 )
      • Válida para Windows 2000
      • Similar a Memparser
  • 18.  
  • 19.
    • Volatools
      • Desarrollada por Komoku Inc
      • Actualmente el proyecto está descontinuado
      • POC capaz de buscar sockets, puertos, direcciones IP, etc..
      • Válida sólo para XP SP2
  • 20.  
  • 21.
    • Ptfinder
      • En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.
      • Podemos analizar qué procesos son los padres y cuáles los hijos
      • Ideal para proyectos forenses
  • 22.  
  • 23.  
  • 24.
    • Pstools (Sysinternals)
    • PtFinder
    • Windbg
    • Memparser
    • Volatools
    • Wmft
    • Hidden.dll (Plugin para Windbg)
  • 25.  
  • 26.  
  • 27.
    • Suscripción gratuita en technews@informatica64.com
  • 28.  
  • 29.  
  • 30.