Asegúr@IT II - Análisis Forense Memoria Ram

4,120 views
4,025 views

Published on

Diapositivas utilizadas por Juan Garrido "silverhack" en la sesión sobre Análisis Forense en memoria realizada en el evento Asegúr@IT II realizado en Abril de 2008 en Barcelona

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,120
On SlideShare
0
From Embeds
0
Number of Embeds
791
Actions
Shares
0
Downloads
210
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Asegúr@IT II - Análisis Forense Memoria Ram

  1. 2. <ul><li>Introducción </li></ul><ul><li>Otros métodos de adquisición </li></ul><ul><li>Análisis memoria en plataformas Windows </li></ul><ul><ul><li>Verificar la integridad </li></ul></ul><ul><ul><li>Recuperación de datos </li></ul></ul><ul><ul><li>Detección procesos ocultos </li></ul></ul><ul><ul><li>Conexiones de red </li></ul></ul><ul><ul><li>Representación gráfica </li></ul></ul><ul><li>Herramientas </li></ul><ul><li>Preguntas </li></ul>
  2. 4. Análisis de Red
  3. 5. <ul><li>Qué puede contener un volcado de memoria </li></ul><ul><ul><li>Procesos en ejecución </li></ul></ul><ul><ul><li>Procesos en fase de terminación </li></ul></ul><ul><ul><li>Conexiones activas </li></ul></ul><ul><ul><ul><li>TCP </li></ul></ul></ul><ul><ul><ul><li>UDP </li></ul></ul></ul><ul><ul><ul><li>Puertos </li></ul></ul></ul><ul><ul><li>Ficheros mapeados </li></ul></ul><ul><ul><ul><li>Drivers </li></ul></ul></ul><ul><ul><ul><li>Ejecutables </li></ul></ul></ul><ul><ul><ul><li>Ficheros </li></ul></ul></ul><ul><ul><li>Objetos Caché </li></ul></ul><ul><ul><ul><li>Direcciones Web </li></ul></ul></ul><ul><ul><ul><li>Passwords </li></ul></ul></ul><ul><ul><ul><li>Comandos tipeados por consola </li></ul></ul></ul><ul><ul><li>Elementos ocultos </li></ul></ul>
  4. 6. <ul><li>La información que podemos recopilar depende de muchos factores </li></ul><ul><ul><li>Sistema operativo </li></ul></ul><ul><ul><li>Time Live de la máquina </li></ul></ul><ul><ul><li>Tamaño de la memoria </li></ul></ul>
  5. 7. <ul><li>Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. </li></ul><ul><ul><li>Reinicios </li></ul></ul><ul><ul><li>Apagados </li></ul></ul><ul><ul><li>Corrupciones </li></ul></ul><ul><li>Verificar la integridad de los datos? </li></ul><ul><li>Se tiene que preparar el sistema para que lo soporte </li></ul>
  6. 9. <ul><li>NotMyFault (Sysinternals) </li></ul><ul><li>SystemDump (Citrix) </li></ul><ul><li>LiveKD (Sysinternals) </li></ul><ul><li>Teclado </li></ul>
  7. 12. <ul><li>DumpChk (Support Tools) </li></ul><ul><ul><li>Herramienta para verificar la integridad de un volcado de memoria </li></ul></ul><ul><ul><li>Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) </li></ul></ul><ul><ul><li>Línea de comandos </li></ul></ul><ul><li>DumpCheck (Citrix) </li></ul><ul><ul><li>Creada por Dmitry Vostokov </li></ul></ul><ul><ul><li>Nos muestra sólo si cumple con la integridad o no </li></ul></ul><ul><ul><li>Entorno gráfico </li></ul></ul>
  8. 14. <ul><li>Strings de Sysinternals </li></ul><ul><ul><li>Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo </li></ul></ul><ul><ul><li>Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… </li></ul></ul><ul><li>FindStr (Microsoft nativa) </li></ul><ul><ul><li>Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos </li></ul></ul><ul><li>Con la combinación de ambas herramientas podemos extraer gran cantidad de información </li></ul>
  9. 16. <ul><li>Windbg </li></ul><ul><ul><li>Poderosa herramienta de depuración </li></ul></ul><ul><ul><li>Necesitamos los símbolos para poder trabajar con procesos </li></ul></ul><ul><ul><li>Pensada para “todos los públicos” </li></ul></ul><ul><ul><li>Mucha granularidad a nivel de comandos </li></ul></ul><ul><ul><li>Escalable (Plugins) </li></ul></ul><ul><ul><li>Se necesita mucha experiencia </li></ul></ul><ul><li>Memparser </li></ul><ul><ul><li>Nace con un reto forense de RAM (DFRWS 2005) </li></ul></ul><ul><ul><li>Válida sólo para Windows 2000 </li></ul></ul><ul><ul><li>La más completa en cuanto a funcionalidad </li></ul></ul><ul><ul><li>Evoluciona a las KntTools (Pago por licencia) </li></ul></ul><ul><li>Ptfinder </li></ul><ul><ul><li>Desarrollada en Perl </li></ul></ul><ul><ul><li>Extrae información sobre procesos, threads y procesos ocultos (DKOM) </li></ul></ul><ul><ul><li>Interpretación gráfica de la memoria </li></ul></ul><ul><ul><li>Válida para W2K, XP,XPSP2, W2K3 </li></ul></ul>
  10. 17. <ul><li>Wmft </li></ul><ul><ul><li>Creada por Mariusz Burdach ( http://forensic.seccure.net ) </li></ul></ul><ul><ul><li>Demo para BlackHat 2006 </li></ul></ul><ul><ul><li>Válida para Windows 2003 </li></ul></ul><ul><li>Memory Analisys Tools </li></ul><ul><ul><li>Creada por Harlan Carvey (Windows Incident Response) </li></ul></ul><ul><ul><li>Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158 ) </li></ul></ul><ul><ul><li>Válida para Windows 2000 </li></ul></ul><ul><ul><li>Similar a Memparser </li></ul></ul>
  11. 19. <ul><li>Volatools </li></ul><ul><ul><li>Desarrollada por Komoku Inc </li></ul></ul><ul><ul><li>Actualmente el proyecto está descontinuado </li></ul></ul><ul><ul><li>POC capaz de buscar sockets, puertos, direcciones IP, etc.. </li></ul></ul><ul><ul><li>Válida sólo para XP SP2 </li></ul></ul>
  12. 21. <ul><li>Ptfinder </li></ul><ul><ul><li>En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. </li></ul></ul><ul><ul><li>Podemos analizar qué procesos son los padres y cuáles los hijos </li></ul></ul><ul><ul><li>Ideal para proyectos forenses </li></ul></ul>
  13. 24. <ul><li>Pstools (Sysinternals) </li></ul><ul><li>PtFinder </li></ul><ul><li>Windbg </li></ul><ul><li>Memparser </li></ul><ul><li>Volatools </li></ul><ul><li>Wmft </li></ul><ul><li>Hidden.dll (Plugin para Windbg) </li></ul>
  14. 27. <ul><li>Suscripción gratuita en technews@informatica64.com </li></ul>

×