análisis forense memoria ram
TRANSCRIPT
Por fin eliminé mis datos!
Juan Garrido Análisis forense memoria RAMConsultor sistemas [email protected]
Agenda
► Introducción► Otros métodos de adquisición► Análisis memoria en plataformas Windows
Verificar la integridad Recuperación de datos Detección procesos ocultos Conexiones de red Representación gráfica
► Herramientas► Preguntas
Introducción
Introducción
Objetivo
Aplicaciones y sistema
operativo
Sistema de ficheros, volumen
RAM, pagefile.sys,hi
berfil.sysAnálisis de Red
Introducción
► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas
TCPUDPPuertos
Ficheros mapeadosDriversEjecutablesFicheros
Objetos Caché Direcciones WebPasswordsComandos tipeados por consola
Elementos ocultos
Cómo…?
SSDTServicio de tabla de descriptoresUtilizado por WindowsEncamina llamadas del sistema hacia las APIEncamina llamadas realizadas por Ring(3) al sistema
Espacio de direcciones del sistema Espacio de direcciones del usuario Proceso !=Programa
Programa.- Secuencia instruccionesProceso.- Contenedor. Guarda recursos que podrá utilizar el programa
Cómo…?
► Buscando todo tipo de información almacenada Estructuras EPROCESS
Bloque de procesosContiene atributos propiosPunteros a otras estructurasPara cada kernel puede ser diferenteDt –a -b –v _EPROCESS (WinDBG)
Hilos en ejecuciónUn proceso puede tener uno o más hilos en ejecución!Thread (WinDBG)
Introducción
►La información que podemos recopilar depende de muchos factores
Sistema operativoTime Live de la máquinaTamaño de la memoria
Inconvenientes
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
ReiniciosApagadosCorrupciones
►Verificar la integridad de los datos?►Se tiene que preparar el sistema para que lo soporte
Otros métodos de adquisición
Adquisición por software
►NotMyFault (Sysinternals)►SystemDump (Citrix)►LiveKD (Sysinternals)►Teclado
Análisis memoria RAM
Verificar la integridad
►DumpChk (Support Tools)Herramienta para verificar la integridad de un
volcado de memoriaMuy completa (Uptime, Arquitectura, Equipo, fallo,
etc…)Línea de comandos
►DumpCheck (Citrix)Creada por Dmitry VostokovNos muestra sólo si cumple con la integridad o noEntorno gráfico
Recuperación de datos
►Strings de SysinternalsHerramienta para extraer cadenas (ASCII &
UNICODE) de un archivoPodemos identificar objetos almacenados en
memoria, datos persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivosCon la combinación de ambas herramientas podemos
extraer gran cantidad de información
Detección de procesos ocultos
► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia
► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia)
► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
Detección de procesos ocultos
► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003
► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
Conexiones de Red
►VolatoolsDesarrollada por Komoku IncIt’s ALIVE!!POC capaz de buscar sockets, puertos, direcciones
IP, etc..Soporte XPSP3!!
Representación gráfica
► Ptfinder En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
Herramientas
Herramientas
►Pstools (Sysinternals)►PtFinder►Windbg►Memparser►Volatools►Wmft►Hidden.dll (Plugin para Windbg)
Todavía hay más…?
►Sí!!Scripts nuevosNuevas herramientas ENCASEPtfinder soporta Windows VISTA!!Hidden.dll (Mariusz Burdach)
Analizador de procesos ocultos para Windbg
http://Windowstips.wordpress.com
http://legalidadinformatica.blogspot.com
http://www.microsoft.es/HOLsistemas
http://www.informatica64.com
III Día Internacional de laSeguridad Informática 1 de Dic de 2k8
► 08:00 - 09:00 Registro► 09:00 - 09:15 Inauguración► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos)► 10:30 - 11:45 La Investigación en Seguridad► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España)► 11:45 - 12:15 Investigación del Cibercrimen► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil► 12:15 - 13:00 DESCANSO Y CÓCTEL► 13:00 - 13:30 Tecnologías Antiforense► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo► URL: http://www.capsdesi.upm.es/
TechNews de Informática 64
►Suscripción gratuita en [email protected]
Elhacker.net
Creative CommonsAttribution-NoDerivs 2.0
Attribution. You must give the original author credit.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
You are free:
• to copy, distribute, display, and perform this work
• to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.
Gracias!;-)