Asegúr@IT II - Análisis Forense Memoria Ram
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Asegúr@IT II - Análisis Forense Memoria Ram

  • 5,737 views
Uploaded on

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
5,737
On Slideshare
4,890
From Embeds
847
Number of Embeds
5

Actions

Shares
Downloads
197
Comments
0
Likes
2

Embeds 847

http://www.elladodelmal.com 598
http://elladodelmal.blogspot.com 238
http://www.slideshare.net 9
http://www.elladodelmal.blogspot.com 1
http://webcache.googleusercontent.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1.  
  • 2.
    • Introducción
    • Otros métodos de adquisición
    • Análisis memoria en plataformas Windows
      • Verificar la integridad
      • Recuperación de datos
      • Detección procesos ocultos
      • Conexiones de red
      • Representación gráfica
    • Herramientas
    • Preguntas
  • 3.  
  • 4. Análisis de Red
  • 5.
    • Qué puede contener un volcado de memoria
      • Procesos en ejecución
      • Procesos en fase de terminación
      • Conexiones activas
        • TCP
        • UDP
        • Puertos
      • Ficheros mapeados
        • Drivers
        • Ejecutables
        • Ficheros
      • Objetos Caché
        • Direcciones Web
        • Passwords
        • Comandos tipeados por consola
      • Elementos ocultos
  • 6.
    • La información que podemos recopilar depende de muchos factores
      • Sistema operativo
      • Time Live de la máquina
      • Tamaño de la memoria
  • 7.
    • Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
      • Reinicios
      • Apagados
      • Corrupciones
    • Verificar la integridad de los datos?
    • Se tiene que preparar el sistema para que lo soporte
  • 8.  
  • 9.
    • NotMyFault (Sysinternals)
    • SystemDump (Citrix)
    • LiveKD (Sysinternals)
    • Teclado
  • 10.  
  • 11.  
  • 12.
    • DumpChk (Support Tools)
      • Herramienta para verificar la integridad de un volcado de memoria
      • Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…)
      • Línea de comandos
    • DumpCheck (Citrix)
      • Creada por Dmitry Vostokov
      • Nos muestra sólo si cumple con la integridad o no
      • Entorno gráfico
  • 13.  
  • 14.
    • Strings de Sysinternals
      • Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo
      • Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…
    • FindStr (Microsoft nativa)
      • Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos
    • Con la combinación de ambas herramientas podemos extraer gran cantidad de información
  • 15.  
  • 16.
    • Windbg
      • Poderosa herramienta de depuración
      • Necesitamos los símbolos para poder trabajar con procesos
      • Pensada para “todos los públicos”
      • Mucha granularidad a nivel de comandos
      • Escalable (Plugins)
      • Se necesita mucha experiencia
    • Memparser
      • Nace con un reto forense de RAM (DFRWS 2005)
      • Válida sólo para Windows 2000
      • La más completa en cuanto a funcionalidad
      • Evoluciona a las KntTools (Pago por licencia)
    • Ptfinder
      • Desarrollada en Perl
      • Extrae información sobre procesos, threads y procesos ocultos (DKOM)
      • Interpretación gráfica de la memoria
      • Válida para W2K, XP,XPSP2, W2K3
  • 17.
    • Wmft
      • Creada por Mariusz Burdach ( http://forensic.seccure.net )
      • Demo para BlackHat 2006
      • Válida para Windows 2003
    • Memory Analisys Tools
      • Creada por Harlan Carvey (Windows Incident Response)
      • Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158 )
      • Válida para Windows 2000
      • Similar a Memparser
  • 18.  
  • 19.
    • Volatools
      • Desarrollada por Komoku Inc
      • Actualmente el proyecto está descontinuado
      • POC capaz de buscar sockets, puertos, direcciones IP, etc..
      • Válida sólo para XP SP2
  • 20.  
  • 21.
    • Ptfinder
      • En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.
      • Podemos analizar qué procesos son los padres y cuáles los hijos
      • Ideal para proyectos forenses
  • 22.  
  • 23.  
  • 24.
    • Pstools (Sysinternals)
    • PtFinder
    • Windbg
    • Memparser
    • Volatools
    • Wmft
    • Hidden.dll (Plugin para Windbg)
  • 25.  
  • 26.  
  • 27.
    • Suscripción gratuita en technews@informatica64.com
  • 28.  
  • 29.  
  • 30.