Scribd
Cargar
925 vistas30 páginas

Analisis Forense en Memoria Ram

El documento describe varias herramientas para el análisis de volcados de memoria en sistemas Windows. Explica que un volcado de memoria puede contener procesos, conexiones de red, archivos mapeados y objetos en caché. También cubre factores que afectan la información recopilada como el sistema operativo y tamaño de memoria. Finalmente, analiza herramientas como Ptfinder, Windbg, Memparser y Volatools que pueden extraer y visualizar datos de un volcado de memoria.

Cargado por

PERUHACKING
Derechos de autor
© Attribution Non-Commercial (BY-NC)
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPT, PDF, TXT o lee en línea desde Scribd
925 vistas30 páginas

Analisis Forense en Memoria Ram

El documento describe varias herramientas para el análisis de volcados de memoria en sistemas Windows. Explica que un volcado de memoria puede contener procesos, conexiones de red, archivos mapeados y objetos en caché. También cubre factores que afectan la información recopilada como el sistema operativo y tamaño de memoria. Finalmente, analiza herramientas como Ptfinder, Windbg, Memparser y Volatools que pueden extraer y visualizar datos de un volcado de memoria.

Cargado por

PERUHACKING
Derechos de autor
© Attribution Non-Commercial (BY-NC)
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPT, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 30

► Introducción

► Otros métodos de adquisición


► Análisis memoria en plataformas Windows
 Verificar la integridad
 Recuperación de datos
 Detección procesos ocultos
 Conexiones de red
 Representación gráfica
► Herramientas
► Preguntas
Análisis de Red
► Qué puede contener un volcado de memoria
 Procesos en ejecución
 Procesos en fase de terminación
 Conexiones activas
TCP

UDP

Puertos

 Ficheros mapeados
Drivers

Ejecutables

Ficheros

 Objetos Caché
Direcciones Web
Passwords

Comandos tipeados por consola


 Elementos ocultos
► La
información que podemos recopilar
depende de muchos factores
Sistema operativo
Time Live de la máquina
Tamaño de la memoria
► Siguiendoel orden de volatilidad, los
datos contenidos en la RAM son
extremadamente volátiles.
Reinicios

Apagados

Corrupciones

► Verificar la integridad de los datos?


► Se
tiene que preparar el sistema para
que lo soporte
► NotMyFault (Sysinternals)
► SystemDump (Citrix)
► LiveKD (Sysinternals)
► Teclado
► DumpChk (Support Tools)
 Herramientapara verificar la integridad de un
volcado de memoria
 Muy completa (Uptime, Arquitectura, Equipo,
fallo, etc…)
 Línea de comandos
► DumpCheck (Citrix)
 Creada por Dmitry Vostokov
 Nos muestra sólo si cumple con la integridad
o no
 Entorno gráfico
► Strings de Sysinternals
Herramientapara extraer cadenas (ASCII &
UNICODE) de un archivo
Podemos identificar objetos almacenados en
memoria, datos persistentes, conexiones,
Passwords, etc…
► FindStr (Microsoft nativa)
Herramienta utilizada para buscar una cadena
de texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas
podemos extraer gran cantidad de
información
► Windbg
 Poderosa herramienta de depuración
 Necesitamos los símbolos para poder trabajar con procesos
 Pensada para “todos los públicos”
 Mucha granularidad a nivel de comandos
 Escalable (Plugins)
 Se necesita mucha experiencia
► Memparser
 Nace con un reto forense de RAM (DFRWS 2005)
 Válida sólo para Windows 2000
 La más completa en cuanto a funcionalidad
 Evoluciona a las KntTools (Pago por licencia)
► Ptfinder
 Desarrollada en Perl
 Extrae información sobre procesos, threads y procesos ocultos (DKOM)
 Interpretación gráfica de la memoria
 Válida para W2K, XP,XPSP2, W2K3
► Wmft
 Creada por Mariusz Burdach (http://forensic.seccure.net)
 Demo para BlackHat 2006
 Válida para Windows 2003
► Memory Analisys Tools
 Creada por Harlan Carvey (Windows Incident Response)
 Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158)
 Válida para Windows 2000
 Similar a Memparser
► Volatools
Desarrollada por Komoku Inc
Actualmente el proyecto está
descontinuado
POC capaz de buscar sockets, puertos,
direcciones IP, etc..
Válida sólo para XP SP2
► Ptfinder
 En todas sus versiones, esta herramienta es capaz de
representar gráficamente el estado de la memoria.
 Podemos analizar qué procesos son los padres y cuáles
los hijos
 Ideal para proyectos forenses
► Pstools (Sysinternals)
► PtFinder
► Windbg
► Memparser
► Volatools
► Wmft
► Hidden.dll (Plugin para Windbg)
► Suscripción gratuita en [email protected]

También podría gustarte