► ► ►

Introducción Otros métodos de adquisición Análisis memoria en plataformas Windows
 Verificar

la integridad de datos procesos ocultos de red gráfica

 Recuperación  Detección

 Conexiones

 Representación

► ►

Herramientas Preguntas

Análisis de Red

Qué puede contener un volcado de memoria
  

Procesos en ejecución Procesos en fase de terminación Conexiones activas
TCP UDP Puertos

Ficheros mapeados
Drivers Ejecutables Ficheros

Objetos Caché
Direcciones Passwords Comandos

Web

tipeados por consola

 Elementos

ocultos

► La

información que podemos recopilar depende de muchos factores
Sistema Time

operativo de la memoria

Live de la máquina

Tamaño

► Siguiendo

el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
Reinicios Apagados Corrupciones

► Verificar ► Se

la integridad de los datos?

tiene que preparar el sistema para que lo soporte

► NotMyFault ► LiveKD

(Sysinternals) (Citrix)

► SystemDump ► Teclado

(Sysinternals)

► DumpChk

(Support Tools)

 Herramienta  Muy

para verificar la integridad de un volcado de memoria completa (Uptime, Arquitectura, Equipo, fallo, etc…) de comandos (Citrix) por Dmitry Vostokov

 Línea

► DumpCheck
 Creada  Nos

o no

muestra sólo si cumple con la integridad gráfico

 Entorno

► Strings

de Sysinternals

Herramienta Podemos

para extraer cadenas (ASCII & UNICODE) de un archivo identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… (Microsoft nativa) utilizada para buscar una cadena de texto en el interior de uno o varios archivos

► FindStr

Herramienta

Con la combinación de ambas herramientas podemos extraer gran cantidad de información

Windbg
     

Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3

Memparser
   

Ptfinder
   

Wmft
  

Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003 Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser

Memory Analisys Tools
 

 

► Volatools
Desarrollada Actualmente POC

por Komoku Inc

el proyecto está descontinuado capaz de buscar sockets, puertos, direcciones IP, etc.. sólo para XP SP2

Válida

Ptfinder
 En

todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. los hijos analizar qué procesos son los padres y cuáles

 Podemos  Ideal

para proyectos forenses

► Pstools ► Windbg

(Sysinternals)

► PtFinder ► Memparser ► Volatools ► Wmft ► Hidden.dll

(Plugin para Windbg)

► Suscripción

gratuita en technews@informatica64.com

Sign up to vote on this title
UsefulNot useful