About me

Sandro Melo - Atualmente Coordenador do

curso de Tecnologia em Redes de Computadores
na BANDTEC onde tambm professor das
ctedras: "Sistema Operacionais, Segurana e
Auditoria" e responsvel pelo Curso de Ps
Graduao Lato Sensu em "Segurana
Computacional e Computao Forense. Atua na
rea de TI desde 1995. Doutorando pelo TIDD/
PUC-SP, Mestre em Engenharia da Computao
pelo IPT e Graduado em Tecnologia de
Processamento de Dado Pela Universidade
Mackenzie. Ministrou palestras em eventos
nacionais e internacionais relevantes como
CNASI, FIRST/USA, BRUCON/Blgica, SCI/RNP,
COALTI, FISL, LATINOWARE; escritor e
revisor tcnico; autor de 5 Livros publicados no
Brasil pela editora Altabooks; conteudista, revisor
tcnico e instrutor convidado pela ESR/RNP.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -2

Sobre a BandTec

A BandTec uma faculdade de tecnologia superior.

Superior pela qualidade de seus professores. Superior pelas tecnologias

educacionais. Superior pela metodologia que equilibra teoria e prtica de
forma exemplar. E superior, acima de tudo, por crer que est formando
no apenas tecnlogos, mas lderes em suas reas, o que exige uma
formao tcnica e tambm humanstica, ampla e profunda.

Conceitos sobre
Forense de
Memria

Forense
de
Memria

Conceitos sobre
Forense em Memria
Parte Computao Forense que consiste em um processo de
captura dos dados da memria RAM, atravs da criao de um
arquivo de DUMP da memria, sua posterior anlise que se baseia
na extrao de dados do arquivo de DUMP criado. Esse arquivo
ser uma replica de todos os anlise dos dados armazenados em
memria voltil at a interverso do Analista de segurana/
Perito.
Embora seja uma parte da Computao Forense que passou a ter
uma maior importncia recentemente, a Forense Memria tornase cada vez mais estratgica, diante de um cenrio de sistemas
computacionais com grande capacidade de armazenamento,
virtualizao e Computao nas Nuvens.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -6

Conceitos sobre
Forense em Memria
Importante lembrar que mesmo a memria RAM sendo voltil,
essa volatilidade pode variar de acordo com o contexto, ou
seja, ainda existe a possibilidade de recuperao de dados da
memria RAM aps o desligamento da mquina.
Deve-se compreender que muitos dados que poderiam ser
teis a uma percia correm o risco de serem perdidos no
desligamento do sistema ou mesmo de serem reescritos no
funcionamento normal do sistema, dessa forma a criao de
um DUMP de memria torna-se necessrio para o perito ter
uma fotografia real do estado do sistema operacional
comprometido.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -7

Conceitos sobre
Forense em Memria
Essa caracterstica devido a forma como a memria
RAM funciona. Embora diferente de uma mdia de
memria secundria de armazenamento (exemplo: disco
Rgido ,Pendrive) , tem uma taxa de persistncia de um
dado em uma rea no alocadas de memria que muito
menor.
interessante destacar que discos SSD tem um
funcionamento similar a um pente de memria, dessa
forma eles tambm tem uma tendncia a baixa
persistncia de dados em rea no alocadas

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -8

Onde pode-se aplicar a

Forense em Memria
Estaes de Trabalhos e servidores convencionais
Mquinas Virtuais
Para anlise de Malware

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -9

Forense em Memria
vs
Forense in Vivo
A Forense In Vivo um processo onde perito busca coletar
dados periciais do sistema durante o seu funcionamento,
para posterior analise e classificao desses dados como
pistas, evidncias ou mesmo em provas que possa sustentar
um indcio e/ou Hiptese.
A coleta que constituem de informaes na Forense in Vivo
consiste em um processo que utiliza boas prticas para tentar
coletar os dados da melhor forma possvel, as vezes
encaminhando pela rede ou copiando para um mdia removvel,
evitando ao mximo alterar o estado do sistema Operacional.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -10

Forense em Memria
vs
Forense in Vivo
Entre os tipos de dados coletados tambm se encontram a
duplicao das informaes da memria RAM, denominado de
"Dump de Memria"
A Forense de memria justamente a percia que realizado
nos dados extrados do Dump de Memria.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -11

Vantagens da Forense de Memria

A Forense de Memria trs um nova dinmica para
Computao Forense, pois a evoluo das ferramentas
possibilitam a extrao de dados periciais que
dependendo do incidente de segurana ou investigao
que esta sendo feita, podem possibilitar a identificao
de evidncias e provas que podero ser relevantes e
capazes de elucidar como um determinado incidente
aconteceu, a partir do contexto do estado do sistema
computacional.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -12

Vantagens da Forense de Memria

A correlao de informao uma ao constante no
processo de analise realizado pelo perito, dessa forma
as informaes que podem ser levantadas em um
processo de Forense de Memria, tornam-se mais uma
fonte para tambm possibilitar as correlaes com
informaes com outras etapas da Computao Forense
(Forense de Rede, Forense In Vivo e Post Mortem
Forense).

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -13

Vantagens da Forense de Memria

Outro ponto que deve-se considerar que a Post
Mortem Forense torna-se cada vez mais complicada
diante de mdias de armazenamento cada vez maiores,
ou mesmo o uso de criptografia no armazenamento de
dados, o que na Forense de Memria pode ter a
oportunidade de recuperao de chaves e senhas.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -14

O Processo da
Forense de Memria

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -15

Gerao do Dump
de Memoria

Dump de Memria
possvel dividir a partir de um ponto de vista macro em
duas partes, o momento da gerao do Dump de memria
e analise do mesmo.
Similar a duplicao de imagens (disco, pen-drive), o
Dump de memria um procedimento de duplicao de
todo contedo da memria RAM, ou seja, uma copia bit
bit. Essa cpia pode ser feita a partir de hardware e/ou
software especializado.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -17

Dump de Memria
Embora no seja de uso universal a possibilidade de
realizao de Dump de memria via hardware, pode ser um
recurso interessante para ambientes crticos onde no
pode desligar os servidores. Entretanto demanda-se que
uma placa de expanso com essa capacidade seja instalada
previamente, um bom exemplo a placa PCI Tribble card.
A forma mais comum via a realizao do Dump de
memria via software, escrevendo em uma mdia externa
(removvel). Existem algumas opes de software para
realizar esse procedimento, no caso de sistemas GNU
Linux podemos citar: Memdump, dd, Lime, crash.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -18

Desafios -

Proteo do /dev/mem

Proteo de acesso ao /dev/mem comum nas

distribuies Linux pode ser um problema durante a
Forense In Vivo. Dessa forma recomendvel ao
sysadmin preparar antecipadamente sua Linux Box com
alguma forma que possibilite a criao de um Dump de
memria contornando a proteo do /devm/mem.
# dd if=/dev/mem of=/tmp/mem.dump
dd: reading `/dev/mem': Operation not permitted
2056+0 records in
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.153596 s, 6.9 MB/s
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -19

Proteo do /dev/mem

# tail /var/log/messages | grep /dev/mem --color

Nov 6 16:45:04 ichigeki kernel: Program dd tried to
access /dev/mem between 101000->101200.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -20

Instalao do modulo crash

Utilizar o modulo crash.ko que possibilita realizar o
dump da memria mesmo que exista a restrio de
acesso ao /dev/mem.
#
#
#
#
#
#

tar xzvf crash_modulo.tgz

cd crash/
make
insmod crash.ko
lsmod | grep -i crash
ls -l /dev/crash
# dd if=/dev/crash bs=4096 of=/dev/mem.dd

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -21

Utilizao do modulo crash

Recebendo informaes do dump de memria usando
modulo crash.ko .
# dd if=/dev/crash bs=4096 | /cdrom/nc -q 5 -v <ip>
<porta>
# nc -l -p porta | tee mem_crash.info | md5sum $1 >

mem_crash.info.md5

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -22

Dump de memria com modulo Lime

Tambm um modulo de kernel carregvel (LKM) que
possibilita a criao do Dump em sistema Linux ou sistemas
baseados no kernel do Linux como sistema operacional
utilizados em dispositivos moveis como Android.

O Modulo Lime foi a primeira ferramenta que permitiu a

captura completa de dados memria RAM em dispositivos
moveis baseados em Android. Segundo sua documentao
original ele foi desenvolvido para minimiza a interao entre
os processos do usurio e espao do kernel durante a
aquisio, o que lhe permite produzir Dumps de memria com
o mximo informao.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -23

DEMO

Extrao de
Strings e uso do
Regex

Extrao e anlise de Strings

A gerao de um arquivo de strings do Dump de memria

um passo inicial importante que pode permitir
identificar informaes relevantes.
# strings -a DUMP.img | tee DUMP.img.str
O uso de Regex ser um mecanismo fundamental para o
tratamento do arquivo de strings, dessa forma o uso de
ferramentas como: GREP, EGREP, GLARK.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -26

Extrao e anlise de Strings

Exemplos de uso de Regex para extrao de informaes

relevantes a parti das Strings do arquivo de dump de
memria:
# grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
DUMP.img.str
# grep -i "\/exploit\/" DUMP.img.str
# grep -i "rootkit\/" DUMP.img.str

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -27

DEMO

Extrao de
informaes do
estado do S.O.

Extrao de informaes do S.O.

Nos ltimos anos ocorreu uma evoluo considerada de
ferramentas para suportar o processo de Forense de
Memria.
Atualmente existem ferramentas que conseguem extrair
de forma legvel e organizada, exemplos de ferramentas
que se destacam so:
- SecondLook
- Volafox
- Volatilitux
- Volatility
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -30

Volatility Conceitos
O Volatility foi uma ferramenta que surgiu em um evento
DFRWS, inicialmente utilizadas
em uma soluo de um
desafio forense.
Atualmente o Volatility uma das melhores ferramentas
para anlise de forense de memria e seu desenvolvimento
constante tem trazido novos recursos para os peritos
forenses, embora seja ainda uma rea nova da Computao
Forense.
Existe um grande espao para melhorias nas ferramentas j
existente.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -32

Dados Perciais na Memria

Com o uso do Volatility possvel extrair informaes
interessantes do estado do Sistema Operacional a
partir de um Dump de Memria:
Informao de processos que estavam ativos
Informaes de conexes / sockets de rede
Informaes de bibliotecas dinmicas (ou Libs) em
sistema like Unix (Linux, MaC OS) e DLL (Windows) que
estavam carregadas.
Informaes de Arquivos independentes que estavam
vinculadas aos processos

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -33

Dados Perciais na Memria

Acesso a memria enderevel

Mdulos de kernel especficos para a ferramenta
Mapeamento fsico para endereos virtuais (strings de
processo)
Digitalizao de processos: threads, sockets, conexes,
mdulos

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -34

DEMO

Recuperao de
Artefatos e
Extrao de Dados

File Carving e Extrao de Dados

A recuperao de artefatos da memria uma ao necessria
e que com certeza ajuda todo o processo da percia, dessa
forma ela deve ser feita. Outra forma que pode possibilitar a
extrao de artefatos a utilizao de ferramentas como
Foremost e Bulk_extractor/
# foremost -c /etc/foremost.conf -o report victoriav8.memdump.img T
# bulk_extractor -E net -o bulk_output/ victoriav8.memdump.img

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -37

DEMO

Relatorio
(Laudo Tcnico)
e
Concluso

Laudo Tcnico

Em toda anlise deseja-se ter como resultado um

relatrio onde seja elencado as informaes que o
Perito considerou relevante, vinculando dados
periciais que sustente sua argumentao.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -40

Concluso
A Forense de Memria at pode ser decisiva em uma
Percia, principalmente quando o alvo da anlise for um
incidente baseado em um Malware.
Mas deve-se ter em mente que em incidentes de
segurana mais elaborados e/ou que tenham dados
periciais serem analisados em outros etapas de uma
pericia (Post Mortem, Rede, In Vivo), a forense de
Memria poder ser tambm uma fonte de informao
importante.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -41