Embed Size (px)
Citation preview
Manuel Santander
Análisis forense a partir de
recuperación de evidencias
en memoria
2
Agenda
• Introducción
• La Organización de Información en memoria
• Adquisición de evidencia
• Demostración
• Conclusiones
• Preguntas y Comentarios
3
Introducción
• Evidencia electrónica
• Sofisticación de técnicas de delitos informáticos
• No escritura en los medios de almacenamiento
• Apagado del equipo para análisis post-mortem
4
Introducción
• Se hace necesario utilizar evidencia volátil para investigaciones
• Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco
• Rootkits y máquinas zombi
5
Introducción
6
La organización de la información en
memoria
CodeSegment
Data Segment
HeapSegment
Código ejecutado por el programa en el procesador
Datos utilizados por el programa
Datos almacenados por ablocaciónde memoria dinámica
7
La organización de la información en
memoria
CodeSegment
Módulos camuflados con código malicioso objeto de investigación
8
La organización de la información en
memoria
Data Segment
HeapSegment
Datos que están utilizando los programas objeto de investigación
9
La organización de la información en
memoria
10
La organización de la información en
memoria
11
La organización de la información en
memoria
12
Adquisición de la evidencia
• Objeto \\.\PhysicalMemory y \\.\Debugmemory en Windows
• /proc/kcore en Linux
• /dev/kmem en Solaris
• Dump completo de los procesos y datos en memoria
13
Adquisición de la evidencia
• Forensic Acquisition Utilitiesfor Windows (http://www.gmgsystemsinc.com/fau/)
• Solaris Memory Dump(http://docsun.cites.uiuc.edu/sun_docs/C/solaris_9/SUNWdev/MODDEBUG/p18.html)
14
Adquisición de la evidencia
15
Demostración
16
Conclusiones
• La memoria tiene datos que en ataques modernos no van a pasar por el disco duro, lo cual brinda evidencia invaluable.
• Los datos de la memoria son parte fundamental en la correlación de eventos para la fundamentación de un caso.
17
Conclusiones
• Debe prestarse especial atención a la captura de evidencia para no alterar integridad del disco o la información residente en memoria
• Especial para la comprobación de rootkitsy software malicioso
18
Preguntas?Preguntas?
19
¡¡Muchas Gracias!Muchas Gracias!
Manuel Humberto Santander PelManuel Humberto Santander PelááezezUnidad Soluciones de Infraestructura y Soporte de Unidad Soluciones de Infraestructura y Soporte de
ServiciosServiciosSubdirecciSubdireccióón de Tecnologn de Tecnologíía de Informacia de Informacióónn
Empresas PEmpresas Púúblicas de Medellblicas de Medellíín n E.S.PE.S.P..ee--mail: mail: [email protected]@eeppm.com
![Laura I. Sainz Miranda. Introducción y Concepto [1] El cómputo forense, también llamado INFORMATICA FORENSE, computación forense, análisis forense digital,](https://img.pdfslide.es/doc/110x75/54b1b3774979593e7e8b4724/laura-i-sainz-miranda-introduccion-y-concepto-1-el-computo-forense-tambien-llamado-informatica-forense-computacion-forense-analisis-forense-digital.jpg)
