La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis forense memoria RAM

Publicada porRolando Marco Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Análisis forense memoria RAM"— Transcripción de la presentación:

1 Análisis forense memoria RAM
Juan Garrido Consultor seguridad y sistemas I64

2 Hands On Lab Análisis forense en entornos Windows

3 Agenda Introducción Otros métodos de adquisición
Análisis memoria en plataformas Windows Verificar la integridad Recuperación de datos Detección procesos ocultos Conexiones de red Representación gráfica Herramientas Preguntas

4 Introducción Análisis de Red RAM, pagefile.sys,hiberfil.sys
Sistema de ficheros, volumen Aplicaciones y sistema operativo Objetivo Análisis de Red

5 ¿Qué es la memoria RAM?

6 Volátil Memoria de acceso aleatorio Memoria para programas y datos
Memoria temporal Se pierde al apagar el equipo

7 Introducción Qué puede contener un volcado de memoria
Procesos en ejecución Iexplore LSASS Procesos en fase de terminación Conexiones activas TCP UDP Puertos

8 ¿Qué hay en la RAM?

9 Ficheros mapeados Drivers Ejecutables Ficheros Objetos Caché Direcciones Web Passwords Comandos tipeados por consola Elementos ocultos Rootkits (Userland & KernelLand)

10 ¿Cómo se estructura la memoria?
KernelLand (Ring0) Tendrá permiso para acceder a todo el espacio de memoria Podrá comunicarse con el Hardware UserLand (Ring3) Apis podrán comunicarse con el Kernel Nivel con menor privilegio Acceso a Memoria Virtual

11 Qué se busca y por qué… EPROCESS
Estructura que contiene datos relativos a un proceso Representación que hace Windows para cada proceso Fecha Creación, cuotas de uso, Token, PID THREADS Cada proceso puede crear 1 o más hilos en ejecución Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Tiempo de Kernel PEB Información sobre la Imagen Estructuras que residen en el espacio de memoria del usuario Virtual Memory & Physical Memory Permite al proceso usar más memoria que la que hay realmente Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria

12 Captura de memoria RAM Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones Verificar la integridad de los datos Se tiene que preparar el sistema para que lo soporte

13 No sólo se captura lo activo…
La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria

14 Memoria RAM Paginada Paginación Pagefile.sys Hyberfil.sys
Configuración de limpieza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management Reg_DWORD type ClearPagefileAtShutdown Value = 1 (Activado)

15 Métodos de Adquisición
Software: NotMyFault (Sysinternals) SystemDump (Citrix) LiveKD (Sysinternals) Teclado HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters DWORD (CrashOnCtrlScroll) Hardware Copiadoras

16 Verificar la integridad
DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico

17 [DEMO] Integridad en los volcados Configuración de Registro

18 Análisis memoria RAM

19 Análisis desestructurado de memoria RAM
Strings de Sysinternals Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información

20 [DEMO] Extraer información archivo Pagefile.sys
Análisis de comandos en CMD.EXE Análisis de navegación (favoritos, historial) Análisis de conversación messenger

21 Análisis estructurado de memoria RAM
Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 Una de las más completas en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3

22 Detección de procesos ocultos
Wmft Creada por Mariusz Burdach ( Demo para BlackHat 2006 Válida para Windows 2003 Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge ( Válida para Windows 2000 Similar a Memparser

23 Conexiones de Red Volatools Desarrollada por Komoku Inc Proyecto vivo!
POC capaz de buscar sockets, puertos, direcciones IP, etc.. Válida hasta XP SP3

24 [DEMO] Análisis Estructurado Extracción de procesos
Detección de procesos ocultos Extracción de imágenes de ficheros Conexiones de red

25 Representación gráfica
Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses

26 [DEMO] Listar procesos en Windows Vista SP1 Representación gráfica

27 Conclusiones Cifrado de RAM Cumplimiento de LOPD? ¿Es sólo la RAM?
Ficheros temporales ¿Es sólo la RAM? Ficheros temporales de: Documentos ofimáticos Hyberfil.sys Impresión de documentos

28 Herramientas Pstools (Sysinternals)
PtFinder Windbg Memparser Volatools Wmft Hidden.dll (Plugin para Windbg)

29 Referencias Introducción a la informática forense en entornos Windows
Autor: Silverhack Introducción a la informática forense en entornos Windows 2ª parte Introducción a la informática forense en entornos Windows 3ª parte Formas de Analizar un Virus Autor: Juan Garrido Comportamiento Virus Plataformas Windows

30 Retos Forenses http://www.seguridad.unam.mx/eventos/reto/

31 WebCast Microsoft Análisis Forense Sistemas Windows
Ponente: Juan Luis Rambla (MVP Security Informática 64) Url WebCast Análisis Forense entorno Malware

32 TechNews de Informática 64
Suscripción gratuita en

33

34

35 Elhacker.net

36 Gracias! ;-)

Descargar ppt "Análisis forense memoria RAM"

Presentaciones similares

Sql Server Migration Assistant

Sql Server Migration Assistant
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Herramientas informáticas

Herramientas informáticas
Internet y tecnologías web

Internet y tecnologías web
CUPS Configuración y Uso de Paquetes de Software

CUPS Configuración y Uso de Paquetes de Software
Introducción Técnica a Virtual PC

Introducción Técnica a Virtual PC
SQL Server Migration Assistant for Access

SQL Server Migration Assistant for Access
Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G

Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G
TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet.

TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet.
Office Infopath 2003 Soluciones Colaborativas

Office Infopath 2003 Soluciones Colaborativas
Microsoft Office Sharepoint Server 2007. Business Intelligence Rubén Alonso Cebrián Código: HOL-SPS07.

Microsoft Office Sharepoint Server Business Intelligence Rubén Alonso Cebrián Código: HOL-SPS07.
Microsoft Sql Server 2000 Reporting Services Ruben Alonso Cebrian Código: HOL-SQL03.

Microsoft Sql Server 2000 Reporting Services Ruben Alonso Cebrian Código: HOL-SQL03.
Microsoft SQL Server 2005 Integration Services

Microsoft SQL Server 2005 Integration Services
Todo el Software necesario puede ser conseguido por separado. Para facilitar la puesta al punto del ambiente, nosotros utilizaremos una herramienta particular.

Todo el Software necesario puede ser conseguido por separado. Para facilitar la puesta al punto del ambiente, nosotros utilizaremos una herramienta particular.
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.

Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.

Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.
Analisis Forense de evidencias Imagen windows 2003

Analisis Forense de evidencias Imagen windows 2003
SOFTWARE AUTORES: YASELIS LOVERA CORDERO YOJANA VARGAS YOMILETH

SOFTWARE AUTORES: YASELIS LOVERA CORDERO YOJANA VARGAS YOMILETH
I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.

I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.
Servidores Windows Http Ftp …

Servidores Windows Http Ftp …

Presentaciones similares

Anuncios Google