Análisis Forense Memoria RAM
-
Upload
conferencias-fist -
Category
Technology
-
view
898 -
download
1
Transcript of Análisis Forense Memoria RAM
![Page 1: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/1.jpg)
Por fin eliminé mis datos!
Juan Garrido Análisis forense memoria RAMConsultor sistemas [email protected]
![Page 2: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/2.jpg)
Agenda
► Introducción► Otros métodos de adquisición► Análisis memoria en plataformas Windows
Verificar la integridad Recuperación de datos Detección procesos ocultos Conexiones de red Representación gráfica
► Herramientas► Preguntas
![Page 3: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/3.jpg)
Introducción
![Page 4: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/4.jpg)
Introducción
Objetivo
Aplicaciones y sistema
operativo
Sistema de ficheros, volumen
RAM, pagefile.sys,hi
berfil.sysAnálisis de Red
![Page 5: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/5.jpg)
Introducción
► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas
TCPUDPPuertos
Ficheros mapeadosDriversEjecutablesFicheros
Objetos Caché Direcciones WebPasswordsComandos tipeados por consola
Elementos ocultos
![Page 6: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/6.jpg)
Cómo…?
SSDTServicio de tabla de descriptoresUtilizado por WindowsEncamina llamadas del sistema hacia las APIEncamina llamadas realizadas por Ring(3) al sistema
Espacio de direcciones del sistema Espacio de direcciones del usuario Proceso !=Programa
Programa.- Secuencia instruccionesProceso.- Contenedor. Guarda recursos que podrá utilizar el programa
![Page 7: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/7.jpg)
Cómo…?
► Buscando todo tipo de información almacenada Estructuras EPROCESS
Bloque de procesosContiene atributos propiosPunteros a otras estructurasPara cada kernel puede ser diferenteDt –a -b –v _EPROCESS (WinDBG)
Hilos en ejecuciónUn proceso puede tener uno o más hilos en ejecución!Thread (WinDBG)
![Page 8: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/8.jpg)
Introducción
►La información que podemos recopilar depende de muchos factores
Sistema operativoTime Live de la máquinaTamaño de la memoria
![Page 9: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/9.jpg)
Inconvenientes
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
ReiniciosApagadosCorrupciones
►Verificar la integridad de los datos?►Se tiene que preparar el sistema para que lo soporte
![Page 10: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/10.jpg)
Otros métodos de adquisición
![Page 11: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/11.jpg)
Adquisición por software
►NotMyFault (Sysinternals)►SystemDump (Citrix)►LiveKD (Sysinternals)►Teclado
![Page 12: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/12.jpg)
Análisis memoria RAM
![Page 13: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/13.jpg)
Verificar la integridad
►DumpChk (Support Tools)Herramienta para verificar la integridad de un
volcado de memoriaMuy completa (Uptime, Arquitectura, Equipo, fallo,
etc…)Línea de comandos
►DumpCheck (Citrix)Creada por Dmitry VostokovNos muestra sólo si cumple con la integridad o noEntorno gráfico
![Page 14: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/14.jpg)
Recuperación de datos
►Strings de SysinternalsHerramienta para extraer cadenas (ASCII &
UNICODE) de un archivoPodemos identificar objetos almacenados en
memoria, datos persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivosCon la combinación de ambas herramientas podemos
extraer gran cantidad de información
![Page 15: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/15.jpg)
Detección de procesos ocultos
► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia
► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia)
► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
![Page 16: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/16.jpg)
Detección de procesos ocultos
► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003
► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
![Page 17: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/17.jpg)
Conexiones de Red
►VolatoolsDesarrollada por Komoku IncIt’s ALIVE!!POC capaz de buscar sockets, puertos, direcciones
IP, etc..Soporte XPSP3!!
![Page 18: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/18.jpg)
Representación gráfica
► Ptfinder En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
![Page 19: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/19.jpg)
Herramientas
![Page 20: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/20.jpg)
Herramientas
►Pstools (Sysinternals)►PtFinder►Windbg►Memparser►Volatools►Wmft►Hidden.dll (Plugin para Windbg)
![Page 21: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/21.jpg)
Todavía hay más…?
►Sí!!Scripts nuevosNuevas herramientas ENCASEPtfinder soporta Windows VISTA!!Hidden.dll (Mariusz Burdach)
Analizador de procesos ocultos para Windbg
![Page 22: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/22.jpg)
http://Windowstips.wordpress.com
![Page 23: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/23.jpg)
http://legalidadinformatica.blogspot.com
![Page 26: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/26.jpg)
III Día Internacional de laSeguridad Informática 1 de Dic de 2k8
► 08:00 - 09:00 Registro► 09:00 - 09:15 Inauguración► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos)► 10:30 - 11:45 La Investigación en Seguridad► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España)► 11:45 - 12:15 Investigación del Cibercrimen► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil► 12:15 - 13:00 DESCANSO Y CÓCTEL► 13:00 - 13:30 Tecnologías Antiforense► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo► URL: http://www.capsdesi.upm.es/
![Page 28: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/28.jpg)
Elhacker.net
![Page 29: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/29.jpg)
Creative CommonsAttribution-NoDerivs 2.0
Attribution. You must give the original author credit.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
You are free:
• to copy, distribute, display, and perform this work
• to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.
![Page 30: Análisis Forense Memoria RAM](https://reader035.fdocument.pub/reader035/viewer/2022062303/55635f97d8b42a2f508b4d2a/html5/thumbnails/30.jpg)
Gracias!;-)