2. ► Introducción
► Otros métodos de adquisición
► Análisis memoria en plataformas Windows
Verificar la integridad
Recuperación de datos
Detección procesos ocultos
Conexiones de red
Representación gráfica
► Herramientas
► Preguntas
3.
4. RAM, pagefile
Análisis de Red Sistema de
.sys,hiberfil.sy
s
ficheros, volu
men
Aplicaciones y
sistema
operativo
Objetivo
5. ► Qué puede contener un volcado de memoria
Procesos en ejecución
Procesos en fase de terminación
Conexiones activas
TCP
UDP
Puertos
Ficheros mapeados
Drivers
Ejecutables
Ficheros
Objetos Caché
Direcciones Web
Passwords
Comandos tipeados por consola
Elementos ocultos
6. SSDT
Servicio de tabla de descriptores
Utilizado por Windows
Encamina llamadas del sistema hacia las API
Encamina llamadas realizadas por Ring(3) al sistema
Espacio de direcciones del sistema
Espacio de direcciones del usuario
Proceso !=Programa
Programa.- Secuencia instrucciones
Proceso.- Contenedor. Guarda recursos que podrá utilizar el
programa
7. ► Buscando todo tipo de información almacenada
Estructuras EPROCESS
Bloque de procesos
Contiene atributos propios
Punteros a otras estructuras
Para cada kernel puede ser diferente
Dt –a -b –v _EPROCESS (WinDBG)
Hilos en ejecución
Un proceso puede tener uno o más hilos en ejecución
!Thread (WinDBG)
8. ►La información que podemos recopilar depende de
muchos factores
Sistema operativo
Time Live de la máquina
Tamaño de la memoria
9. ►Siguiendo el orden de volatilidad, los datos
contenidos en la RAM son extremadamente volátiles.
Reinicios
Apagados
Corrupciones
►Verificar la integridad de los datos?
►Se tiene que preparar el sistema para que lo soporte
13. ►DumpChk (Support Tools)
Herramienta para verificar la integridad de un
volcado de memoria
Muy completa
(Uptime, Arquitectura, Equipo, fallo, etc…)
Línea de comandos
►DumpCheck (Citrix)
Creada por Dmitry Vostokov
Nos muestra sólo si cumple con la integridad o no
Entorno gráfico
14. ►Strings de Sysinternals
Herramientapara extraer cadenas (ASCII &
UNICODE) de un archivo
Podemos identificar objetos almacenados en
memoria, datos
persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)
Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas podemos
extraer gran cantidad de información
15. ► Windbg
Poderosa herramienta de depuración
Necesitamos los símbolos para poder trabajar con procesos
Pensada para “todos los públicos”
Mucha granularidad a nivel de comandos
Escalable (Plugins)
Se necesita mucha experiencia
► Memparser
Nace con un reto forense de RAM (DFRWS 2005)
Válida sólo para Windows 2000
La más completa en cuanto a funcionalidad
Evoluciona a las KntTools (Pago por licencia)
► Ptfinder
Desarrollada en Perl
Extrae información sobre procesos, threads y procesos ocultos (DKOM)
Interpretación gráfica de la memoria
Válida para W2K, XP,XPSP2, W2K3
16. ► Wmft
Creada por Mariusz Burdach (http://forensic.seccure.net)
Demo para BlackHat 2006
Válida para Windows 2003
► Memory Analisys Tools
Creada por Harlan Carvey (Windows Incident Response)
Disponibles en Sourceforge
(http://sourceforge.net/project/showfiles.php?group_id=164158)
Válida para Windows 2000
Similar a Memparser
17. ►Volatools
Desarrollada por Komoku Inc
It’s ALIVE!!
POC capaz de buscar sockets, puertos, direcciones
IP, etc..
Soporte XPSP3!!
18. ► Ptfinder
En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria.
Podemos analizar qué procesos son los padres y cuáles los hijos
Ideal para proyectos forenses
21. ►Sí!!
Scripts nuevos
Nuevas herramientas ENCASE
Ptfinder soporta Windows VISTA!!
Hidden.dll (Mariusz Burdach)
Analizador de procesos ocultos para Windbg
22.
23.
24.
25.
26. ► 08:00 - 09:00 Registro
► 09:00 - 09:15 Inauguración
► 09:15 - 10:30 Adventures in Network Security
► Dra. Radia Perlman, Sun Microsystems (Estados Unidos)
► 10:30 - 11:45 La Investigación en Seguridad
► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España)
► 11:45 - 12:15 Investigación del Cibercrimen
► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil
► 12:15 - 13:00 DESCANSO Y CÓCTEL
► 13:00 - 13:30 Tecnologías Antiforense
► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional
► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada
► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen
► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo
► URL: http://www.capsdesi.upm.es/
29. Creative Commons
You are free: Attribution-NoDerivs 2.0
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author credit.
No Derivative Works. You may not alter, transform, or build upon this
work.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of
this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.