Análisis Forense de la Memoria RAM de un sistema

3,798 views
3,606 views

Published on

Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,798
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
230
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Stacked, 3-D text at dramatic angle(Intermediate)To reproduce the text on this slide, do the following:On the Home tab, in theSlides group, click Layout, and then click Blank.On the Insert tab, in the Text group, click Text Box, and then on the slide, drag to draw the text box.Enter text in the text box, select the text, and then on the Home tab, in the Font group, select Impact from the Font list, and then change the font size of each line so that the text is approximately the same width. For example, if you entered FIRST on one line, SECOND on the next line, and so on (as shown on the slide), do the following:Select the first line of text, and then on the Home tab, in the Font group, enter 100 in the Font Size box. Select the second line of text, and then on the Home tab, in the Font group, enter 70 in the Font Size box. Select the third line of text, and then on the Home tab, in the Font group, enter 94 in the Font Size box. Select the fourth line of text, and then on the Home tab, in the Font group, enter 75.5 in the Font Size box. Select all of the text. On the Home tab, in the Font group, click Character Spacing, and then click More Spacing. In the Font dialog box, on the Character Spacingtab, in the Spacing list, select Expanded. In the By box, enter 2.On the Home tab, in the Paragraph group, click Center to center the text in the text box.Under Drawing Tools, on the Format tab, in the bottom right corner of the WordArt Styles group, click the Format Text Effects dialog box launcher. In the Format Text Effects dialog box, click Text Fill in the left pane, select Gradient fill in the Text Fill pane, and then do the following:In the Type list, select Radial.Click the button next to Direction, and then click From Corner (second option from the left).Under Gradient stops, click Add or Remove until two stops appear in the drop-down list.Also under Gradient stops, customize the gradient stops that you added as follows:Select Stop 1 from the list, and then do the following:In the Stop position box, enter0%.Click the button next to Color, and then under Theme Colorsclick White, Background 1, Darker 15%(third row, first option from the left).Select Stop 2 from the list, and then do the following:In the Stop position box, enter100%.Click the button next to Color, and then under Theme Colorsclick White, Background 1, Darker 50%(sixth row, first option from the left).Also in the Format Text Effects dialog box, click 3-D Rotation in the left pane. In the 3-D Rotation pane, click the button next to Presets, and then under Perspectiveclick Perspective Heroic Extreme Left (third row, second option from the left).Also in the Format Text Effects dialog box, click 3-D Format in the left pane, and then do the following in the 3-D Format pane: Under Bevel, click the button next to Top, and then under Bevel click Cool Slant (first row, fourth option from the left). Under Depth, in the Depth box, enter 70 pt. Also in the Format Text Effects dialog box, click Shadowin the left pane. In the Shadowpane, click the button next to Presets, and then under Perspectiveclick Perspective Diagonal Upper Right (first row, second option from the left). To reproduce the background on this slide, do the following:Right-click the slide background area, and then clickFormat Background.In the Format Background dialog box, click Fill in the left pane, select Gradient fill in the Fill pane, and then do the following:In the Type list, select Linear.Click the button next to Direction, and then click Linear Down (first row, second option from the left).Under Gradient stops, click Add or Remove until two stops appear in the drop-down list.Also under Gradient stops, customize the gradient stops that you added as follows:Select Stop 1 from the list, and then do the following:In the Stop position box, enter64%.Click the button next to Color, and then under Theme Colorsclick Black, Text 1(first row, second option from the left).Select Stop 2 from the list, and then do the following:In the Stop position box, enter100%.Click the button next to Color, and then under Theme Colorsclick Black, Text 1, Lighter 35% (third row, second option from the left).
  • Análisis Forense de la Memoria RAM de un sistema

    1. 1. Show me yourMemory!<br /><ul><li>Juan Garrido
    2. 2. Consultor Seguridad I64
    3. 3. http://windowstips.wordpress.com
    4. 4. http://www.informatica64.com</li></li></ul><li>Agenda<br />Introducción<br />Otros métodos de adquisición<br />Análisis memoria en plataformas Windows<br />Verificar la integridad<br />Recuperación de datos<br />Detección procesos ocultos<br />Conexiones de red<br />Representación gráfica<br />Herramientas<br />Preguntas<br />
    5. 5. Introducción<br />Análisis de Red<br />
    6. 6. ¿Qué es la memoria RAM?<br />
    7. 7. Volátil<br />Memoria de acceso aleatorio<br />Memoria para programas y datos<br />Memoria temporal<br />Se pierde al apagar el equipo<br />
    8. 8. Introducción<br />Qué puede contener un volcado de memoria<br />Procesos en ejecución<br />Iexplore<br />LSASS<br />Procesos en fase de terminación<br />Conexiones activas<br />TCP<br />UDP<br />Puertos<br />
    9. 9. ¿Qué hay en la RAM?<br />
    10. 10. Ficheros mapeados<br />Drivers<br />Ejecutables<br />Ficheros<br />Objetos Caché <br />Direcciones Web<br />Passwords<br />Comandos tipeados por consola<br />Elementos ocultos<br />Rootkits (Userland & KernelLand)<br />
    11. 11. ¿Cómo se estructura la memoria?<br />KernelLand (Ring0)<br />Tendrá permiso para acceder a todo el espacio de memoria<br />Podrá comunicarse con el Hardware<br />UserLand (Ring3)<br />Apis podrán comunicarse con el Kernel<br />Nivel con menor privilegio<br />Acceso a Memoria Virtual<br />
    12. 12. Qué se busca y por qué…<br />EPROCESS<br />Estructura que contiene datos relativos a un proceso<br />Representación que hace Windows para cada proceso<br />Fecha Creación, cuotas de uso, Token, PID<br />THREADS<br />Cada proceso puede crear 1 o más hilos en ejecución<br />Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso)<br />Tiempo de Kernel<br />PEB<br />Información sobre la Imagen<br />Estructuras que residen en el espacio de memoria del usuario<br />Virtual Memory & PhysicalMemory<br />Permite al proceso usar más memoria que la que hay realmente<br />Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits)<br />El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria<br />
    13. 13. Captura de memoria RAM<br />Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. <br />Reinicios<br />Apagados<br />Corrupciones<br />Verificar la integridad de los datos<br />Se tiene que preparar el sistema para que lo soporte<br />
    14. 14. No sólo se captura lo activo…<br />La información que podemos recopilar depende de muchos factores<br />Sistema operativo<br />Time Live de la máquina<br />Tamaño de la memoria<br />
    15. 15. Memoria RAM Paginada<br />Paginación<br />Pagefile.sys<br />Hyberfil.sys<br />Configuración de limpieza<br />http://support.microsoft.com/kb/314834<br />HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management<br />Reg_DWORD type<br />ClearPagefileAtShutdown<br />Value = 1 (Activado)<br />
    16. 16. Métodos de Adquisición<br />Software:<br />NotMyFault (Sysinternals)<br />SystemDump (Citrix)<br />LiveKD (Sysinternals)<br />Teclado<br />HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesi8042prtParameters<br />DWORD (CrashOnCtrlScroll)<br />Hardware<br />Copiadoras<br />
    17. 17. Verificar la integridad<br />DumpChk (Support Tools)<br />Herramienta para verificar la integridad de un volcado de memoria<br />Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…)<br />Línea de comandos<br />DumpCheck (Citrix)<br />Creada por DmitryVostokov<br />Nos muestra sólo si cumple con la integridad o no<br />Entorno gráfico<br />
    18. 18. Comprobación Integridad<br />
    19. 19. Análisis memoria RAM<br />
    20. 20. Análisis desestructurado de memoria RAM<br />Strings de Sysinternals<br />Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo<br />Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc…<br />FindStr (Microsoft nativa)<br />Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos<br />Con la combinación de ambas herramientas podemos extraer gran cantidad de información<br />
    21. 21. Análisis estructurado dememoria RAM<br />Windbg<br />Poderosa herramienta de depuración<br />Necesitamos los símbolos para poder trabajar con procesos<br />Pensada para “todos los públicos”<br />Mucha granularidad a nivel de comandos<br />Escalable (Plugins)<br />Se necesita mucha experiencia<br />Memparser<br />Nace con un reto forense de RAM (DFRWS 2005)<br />Válida sólo para Windows 2000<br />Una de las más completas en cuanto a funcionalidad<br />Evoluciona a las KntTools (Pago por licencia)<br />Ptfinder<br />Desarrollada en Perl<br />Extrae información sobre procesos, threads y procesos ocultos (DKOM)<br />Interpretación gráfica de la memoria<br />Válida para W2K, XP,XPSP2, W2K3<br />
    22. 22. Detección de procesos ocultos<br />Wmft<br />Creada por Mariusz Burdach (http://forensic.seccure.net)<br />Demo para BlackHat 2006<br />Válida para Windows 2003<br />Memory Analisys Tools<br />Creada por Harlan Carvey (Windows Incident Response)<br />Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)<br />Válida para Windows 2000<br />Similar a Memparser<br />
    23. 23. Conexiones de Red<br />A partir de un PID se puede<br />Extraer información sobre conexiones de red<br />Sockets abiertos<br />Procesos en fase de terminación<br />
    24. 24. Representación gráfica<br />Ptfinder<br />En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. <br />Podemos analizar qué procesos son los padres y cuáles los hijos<br />Ideal para proyectos forenses<br />
    25. 25. Volatility<br />Volatility<br />Inicialmente desarrollada por KomokuInc<br />Comprada por Microsoft en 2008<br />Proyecto vivo!<br />Capaz de buscar sockets, puertos, direcciones IP, etc..<br />
    26. 26. Volatility<br />
    27. 27. Conclusiones<br />Cifrado de RAM<br />Cumplimiento de LOPD?<br />Ficheros temporales<br />¿Es sólo la RAM?<br />Ficheros temporales de:<br />Documentos ofimáticos<br />Hyberfil.sys<br />Impresión de documentos<br />
    28. 28. Herramientas<br />Pstools (Sysinternals)<br />http://download.sysinternals.com/Files/PsTools.zip<br />PtFinder<br />http://computer.forensikblog.de/files/ptfinder/ptfinder-collection-current.zip<br />Windbg<br />http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx<br />Memparser<br />http://sourceforge.net/projects/memparser<br />Volatools<br />https://www.volatilesystems.com/<br />Wmft<br />http://forensic.seccure.net/<br />Hidden.dll (Plugin para Windbg)<br />http://forensic.seccure.net/tools/hidden.zip<br />
    29. 29. Referencias <br />Introducción a la informática forense en entornos Windows<br />Autor: Silverhack<br />http://www.elhacker.net/InfoForenseWindows.htm<br />Introducción a la informática forense en entornos Windows 2ª parte<br />Autor: Silverhack<br />http://www.elhacker.net/InfoForenseWindows2.htm<br />Introducción a la informática forense en entornos Windows 3ª parte<br />Autor: Silverhack<br />http://www.elhacker.net/InfoForense3.html<br />Formas de Analizar un Virus<br />Autor: Juan Garrido<br />http://windowstips.wordpress.com/2007/02/25/formas-de-analizar-un-virus-un-paseo-por-rapidshare/<br />Comportamiento Virus Plataformas Windows<br />Autor: Silverhack<br />http://www.elhacker.net/comportamiento-virus.htm<br />
    30. 30. Retos Forenses<br />http://www.seguridad.unam.mx/eventos/reto/<br />http://www.dfrws.org/2005/challenge/index.html<br />http://retohacking8.elladodelmal.com/<br />
    31. 31. WebCast Microsoft<br />Análisis Forense Sistemas Windows<br />Ponente: Juan Luis Rambla (MVP Security Informática 64)<br />UrlWebCast<br />http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326593&EventCategory=4&culture=es-ES&CountryCode=ES<br />Análisis Forense entorno Malware<br />Ponente: Juan Luis Rambla (MVP Security Informática 64)<br />UrlWebCast<br />http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326597&EventCategory=5&culture=es-VE&CountryCode=VE<br />
    32. 32. WebCast Microsoft<br />Análisis Forense de RAM en Sistemas Windows<br />Ponente: Juan Garrido (Consultor seguridad I64)<br />UrlWebCast<br />https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032396459&EventCategory=5&culture=es-ES&CountryCode=ES<br />
    33. 33. TechNews de Informática 64<br />Suscripción gratuita en http://www.informatica64.com/boletines.html<br />
    34. 34. http://Windowstips.wordpress.com<br />
    35. 35. http://legalidadinformatica.blogspot.com<br />
    36. 36. http://elladodelmal.blogspot.com<br />
    37. 37. Gracias!;-)<br />

    ×