► Introducción
► Otros métodos de adquisición
► Análisis memoria en plataformas WindowsVerificar la integridadRecuperación de datosDetección procesos ocultosConexiones de redRepresentación gráfica
► Herramientas
► Preguntas
Análisis de Red
► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas
TCPUDPPuertos
Ficheros mapeadosDriversEjecutablesFicheros
Objetos Caché Direcciones WebPasswordsComandos tipeados por consola
Elementos ocultos
►La información que podemos recopilar depende de muchos factores
Sistema operativoTime Live de la máquinaTamaño de la memoria
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.
ReiniciosApagadosCorrupciones
►Verificar la integridad de los datos?
►Se tiene que preparar el sistema para que lo soporte
►NotMyFault (Sysinternals)
►SystemDump (Citrix)
►LiveKD (Sysinternals)
►Teclado
►DumpChk (Support Tools)Herramienta para verificar la integridad de un
volcado de memoriaMuy completa (Uptime, Arquitectura, Equipo, fallo,
etc…)Línea de comandos
►DumpCheck (Citrix)Creada por Dmitry Vostokov
Nos muestra sólo si cumple con la integridad o noEntorno gráfico
►Strings de SysinternalsHerramienta para extraer cadenas (ASCII &
UNICODE) de un archivoPodemos identificar objetos almacenados en
memoria, datos persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas podemos extraer gran cantidad de información
► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia
► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia)
► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003
► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
►VolatoolsDesarrollada por Komoku IncActualmente el proyecto está descontinuadoPOC capaz de buscar sockets, puertos, direcciones
IP, etc..Válida sólo para XP SP2
► Ptfinder En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
►Pstools (Sysinternals)
►PtFinder
►Windbg
►Memparser
►Volatools
►Wmft
►Hidden.dll (Plugin para Windbg)
►Suscripción gratuita en [email protected]