► Introducción

► Otros métodos de adquisición

► Análisis memoria en plataformas Windows
 Verificar la integridad
 Recuperación de datos
 Detección procesos ocultos
 Conexiones de red
 Representación gráfica
► Herramientas
► Preguntas
Análisis de Red
► Qué puede contener un volcado de memoria
 Procesos en ejecución
 Procesos en fase de terminación
 Conexiones activas
TCP

UDP

Puertos

 Ficheros mapeados
Drivers

Ejecutables

Ficheros

 Objetos Caché
Direcciones Web
Passwords

Comandos tipeados por consola

 Elementos ocultos
► La
información que podemos recopilar
depende de muchos factores
Sistema operativo
Time Live de la máquina
Tamaño de la memoria
► Siguiendoel orden de volatilidad, los
datos contenidos en la RAM son
extremadamente volátiles.
Reinicios

Apagados

Corrupciones

► Verificar la integridad de los datos?

► Se
tiene que preparar el sistema para
que lo soporte
► NotMyFault (Sysinternals)
► SystemDump (Citrix)
► LiveKD (Sysinternals)
► Teclado
► DumpChk (Support Tools)
 Herramientapara verificar la integridad de un
volcado de memoria
 Muy completa (Uptime, Arquitectura, Equipo,
fallo, etc…)
 Línea de comandos
► DumpCheck (Citrix)
 Creada por Dmitry Vostokov
 Nos muestra sólo si cumple con la integridad
o no
 Entorno gráfico
► Strings de Sysinternals
Herramientapara extraer cadenas (ASCII &
UNICODE) de un archivo
Podemos identificar objetos almacenados en
memoria, datos persistentes, conexiones,
Passwords, etc…
► FindStr (Microsoft nativa)
Herramienta utilizada para buscar una cadena
de texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas
podemos extraer gran cantidad de
información
► Windbg
 Poderosa herramienta de depuración
 Necesitamos los símbolos para poder trabajar con procesos
 Pensada para “todos los públicos”
 Mucha granularidad a nivel de comandos
 Escalable (Plugins)
 Se necesita mucha experiencia
► Memparser
 Nace con un reto forense de RAM (DFRWS 2005)
 Válida sólo para Windows 2000
 La más completa en cuanto a funcionalidad
 Evoluciona a las KntTools (Pago por licencia)
► Ptfinder
 Desarrollada en Perl
 Extrae información sobre procesos, threads y procesos ocultos (DKOM)
 Interpretación gráfica de la memoria
 Válida para W2K, XP,XPSP2, W2K3
► Wmft
 Creada por Mariusz Burdach (http://forensic.seccure.net)
 Demo para BlackHat 2006
 Válida para Windows 2003
► Memory Analisys Tools
 Creada por Harlan Carvey (Windows Incident Response)
 Disponibles en Sourceforge (
http://sourceforge.net/project/showfiles.php?group_id=164158)
 Válida para Windows 2000
 Similar a Memparser
► Volatools
Desarrollada por Komoku Inc
Actualmente el proyecto está
descontinuado
POC capaz de buscar sockets, puertos,
direcciones IP, etc..
Válida sólo para XP SP2
► Ptfinder
 En todas sus versiones, esta herramienta es capaz de
representar gráficamente el estado de la memoria.
 Podemos analizar qué procesos son los padres y cuáles
los hijos
 Ideal para proyectos forenses
► Pstools (Sysinternals)
► PtFinder
► Windbg
► Memparser
► Volatools
► Wmft
► Hidden.dll (Plugin para Windbg)
► Suscripción gratuita en technews@informatica64.com