SlideShare ist ein Scribd-Unternehmen logo

Análisis Forense de la Memoria RAM de un sistema

Als PPTX, PDF herunterladen
Eventos Creativos
Eventos Creativos

Este documento presenta una introducción al análisis de memoria RAM en sistemas Windows. Explica qué es la memoria RAM, qué tipos de información puede contener como procesos, conexiones de red, contraseñas y datos ocultos. Describe métodos para capturar volcados de memoria RAM y herramientas para verificar la integridad de los datos y extraer información a través de un análisis estructurado y desestructurado. El documento concluye resaltando los retos del análisis forense de memoria RAM.

Technologie
1 von 35
Show me yourMemory! ,[object Object]
Consultor Seguridad I64
http://windowstips.wordpress.com
http://www.informatica64.com,[object Object]
Introducción Análisis de Red
¿Qué es la memoria RAM?
Volátil Memoria de acceso aleatorio Memoria para programas y datos Memoria temporal Se pierde al apagar el equipo
Introducción Qué puede contener un volcado de memoria Procesos en ejecución Iexplore LSASS Procesos en fase de terminación Conexiones activas TCP UDP Puertos
¿Qué hay en la RAM?
Ficheros mapeados Drivers Ejecutables Ficheros Objetos Caché Direcciones Web Passwords Comandos tipeados por consola Elementos ocultos Rootkits (Userland & KernelLand)
¿Cómo se estructura la memoria? KernelLand (Ring0) Tendrá permiso para acceder a todo el espacio de memoria Podrá comunicarse con el Hardware UserLand (Ring3) Apis podrán comunicarse con el Kernel Nivel con menor privilegio Acceso a Memoria Virtual
Qué se busca y por qué… EPROCESS Estructura que contiene datos relativos a un proceso Representación que hace Windows para cada proceso Fecha Creación, cuotas de uso, Token, PID THREADS Cada proceso puede crear 1 o más hilos en ejecución Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Tiempo de Kernel PEB Información sobre la Imagen Estructuras que residen en el espacio de memoria del usuario Virtual Memory & PhysicalMemory Permite al proceso usar más memoria que la que hay realmente Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria
Captura de memoria RAM Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones Verificar la integridad de los datos Se tiene que preparar el sistema para que lo soporte
No sólo se captura lo activo… La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
Memoria RAM Paginada Paginación Pagefile.sys Hyberfil.sys Configuración de limpieza http://support.microsoft.com/kb/314834 HKEY_LOCAL_MACHINEYSTEMurrentControlSetontrolession Manageremory Management Reg_DWORD type ClearPagefileAtShutdown Value = 1 (Activado)
Métodos de Adquisición Software: NotMyFault (Sysinternals) SystemDump (Citrix) LiveKD (Sysinternals) Teclado HKEY_LOCAL_MACHINEYSTEMurrentControlSetervices8042prtarameters DWORD (CrashOnCtrlScroll) Hardware Copiadoras
Verificar la integridad DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos DumpCheck (Citrix) Creada por DmitryVostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
Comprobación Integridad
Análisis memoria RAM
Análisis desestructurado de memoria RAM Strings de Sysinternals Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
Análisis estructurado dememoria RAM Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 Una de las más completas en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
Detección de procesos ocultos Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003 Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
Conexiones de Red A partir de un PID se puede Extraer información sobre conexiones de red Sockets abiertos Procesos en fase de terminación
Representación gráfica Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
Volatility Volatility Inicialmente desarrollada por KomokuInc Comprada por Microsoft en 2008 Proyecto vivo! Capaz de buscar sockets, puertos, direcciones IP, etc..
Volatility
Conclusiones Cifrado de RAM Cumplimiento de LOPD? Ficheros temporales ¿Es sólo la RAM? Ficheros temporales de: Documentos ofimáticos Hyberfil.sys Impresión de documentos
Herramientas Pstools (Sysinternals) http://download.sysinternals.com/Files/PsTools.zip PtFinder http://computer.forensikblog.de/files/ptfinder/ptfinder-collection-current.zip Windbg http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx Memparser http://sourceforge.net/projects/memparser Volatools https://www.volatilesystems.com/ Wmft http://forensic.seccure.net/ Hidden.dll (Plugin para Windbg) http://forensic.seccure.net/tools/hidden.zip
Referencias Introducción a la informática forense en entornos Windows Autor: Silverhack http://www.elhacker.net/InfoForenseWindows.htm Introducción a la informática forense en entornos Windows 2ª parte Autor: Silverhack http://www.elhacker.net/InfoForenseWindows2.htm Introducción a la informática forense en entornos Windows 3ª parte Autor: Silverhack http://www.elhacker.net/InfoForense3.html Formas de Analizar un Virus Autor: Juan Garrido http://windowstips.wordpress.com/2007/02/25/formas-de-analizar-un-virus-un-paseo-por-rapidshare/ Comportamiento Virus Plataformas Windows Autor: Silverhack http://www.elhacker.net/comportamiento-virus.htm
Retos Forenses http://www.seguridad.unam.mx/eventos/reto/ http://www.dfrws.org/2005/challenge/index.html http://retohacking8.elladodelmal.com/
WebCast Microsoft Análisis Forense Sistemas Windows Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326593&EventCategory=4&culture=es-ES&CountryCode=ES Análisis Forense entorno Malware Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326597&EventCategory=5&culture=es-VE&CountryCode=VE
WebCast Microsoft Análisis Forense de RAM en Sistemas Windows Ponente: Juan Garrido (Consultor seguridad I64) UrlWebCast https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032396459&EventCategory=5&culture=es-ES&CountryCode=ES
TechNews de Informática 64 Suscripción gratuita en http://www.informatica64.com/boletines.html
http://Windowstips.wordpress.com
http://legalidadinformatica.blogspot.com

Empfohlen

John the ripper & hydra password cracking tool
John the ripper & hydra password cracking toolJohn the ripper & hydra password cracking tool
John the ripper & hydra password cracking tool
Md. Raquibul Hoque
 
Basic malware analysis
Basic malware analysisBasic malware analysis
Basic malware analysis
securityxploded
 
Operating System Forensics
Operating System ForensicsOperating System Forensics
Operating System Forensics
ArunJS5
 
Software security
Software securitySoftware security
Software security
Roman Oliynykov
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
Sreekanth Narendran
 
password cracking using John the ripper, hashcat, Cain&abel
password cracking using John the ripper, hashcat, Cain&abelpassword cracking using John the ripper, hashcat, Cain&abel
password cracking using John the ripper, hashcat, Cain&abel
Shweta Sharma
 
Memory forensics.pptx
Memory forensics.pptxMemory forensics.pptx
Memory forensics.pptx
9905234521
 
Temel kullanici gruplari
Temel kullanici gruplariTemel kullanici gruplari
Temel kullanici gruplari
mimarsinantl
 

Empfohlen

John the ripper & hydra password cracking tool
John the ripper & hydra password cracking toolJohn the ripper & hydra password cracking tool
John the ripper & hydra password cracking tool
Md. Raquibul Hoque
 
Basic malware analysis
Basic malware analysisBasic malware analysis
Basic malware analysis
securityxploded
 
Operating System Forensics
Operating System ForensicsOperating System Forensics
Operating System Forensics
ArunJS5
 
Software security
Software securitySoftware security
Software security
Roman Oliynykov
 
Autopsy Digital forensics tool
Autopsy Digital forensics toolAutopsy Digital forensics tool
Autopsy Digital forensics tool
Sreekanth Narendran
 
password cracking using John the ripper, hashcat, Cain&abel
password cracking using John the ripper, hashcat, Cain&abelpassword cracking using John the ripper, hashcat, Cain&abel
password cracking using John the ripper, hashcat, Cain&abel
Shweta Sharma
 
Memory forensics.pptx
Memory forensics.pptxMemory forensics.pptx
Memory forensics.pptx
9905234521
 
Temel kullanici gruplari
Temel kullanici gruplariTemel kullanici gruplari
Temel kullanici gruplari
mimarsinantl
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Jared Greenhill
 
Nessus-Vulnerability Tester
Nessus-Vulnerability TesterNessus-Vulnerability Tester
Nessus-Vulnerability Tester
Aditya Jain
 
Suricata
SuricataSuricata
Suricata
tex_morgan
 
Unit 3 storage fundamentals
Unit 3 storage fundamentalsUnit 3 storage fundamentals
Unit 3 storage fundamentals
Raj vardhan
 
Microsoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMicrosoft Windows File System in Operating System
Microsoft Windows File System in Operating System
Meghaj Mallick
 
Enterprise class storage & san
Enterprise class storage & sanEnterprise class storage & san
Enterprise class storage & san
Aishwarya wankhade
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
John Ely Masculino
 
Intrusion detection and prevention system
Intrusion detection and prevention systemIntrusion detection and prevention system
Intrusion detection and prevention system
Nikhil Raj
 
Ntfs forensics
Ntfs forensicsNtfs forensics
Ntfs forensics
n|u - The Open Security Community
 
Windows series operating system
Windows series operating systemWindows series operating system
Windows series operating system
Ummara Khan
 
Software Security
Software SecuritySoftware Security
Software Security
Integral university, India
 
Lecture 6
Lecture 6Lecture 6
Lecture 6
Education
 
Common linux ubuntu commands overview
Common linux ubuntu commands overviewCommon linux ubuntu commands overview
Common linux ubuntu commands overview
Ameer Sameer
 
Linux User Management
Linux User ManagementLinux User Management
Linux User Management
Gaurav Mishra
 
Jhon the ripper
Jhon the ripper Jhon the ripper
Jhon the ripper
Merve Karabudağ
 
Cookies and sessions
Cookies and sessionsCookies and sessions
Cookies and sessions
Lena Petsenchuk
 
Forensics of a Windows System
Forensics of a Windows SystemForensics of a Windows System
Forensics of a Windows System
Conferencias FIST
 
Wireshark - presentation
Wireshark - presentationWireshark - presentation
Wireshark - presentation
Kateryna Haskova
 
Recon in Pentesting
Recon in PentestingRecon in Pentesting
Recon in Pentesting
Komal Armarkar
 
Ultimate Guide to Setup DarkComet with NoIP
Ultimate Guide to Setup DarkComet with NoIPUltimate Guide to Setup DarkComet with NoIP
Ultimate Guide to Setup DarkComet with NoIP
Pich Pra Tna
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
Chema Alonso
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 

Weitere ähnliche Inhalte

Was ist angesagt?

Unit 3 storage fundamentals
Unit 3 storage fundamentalsUnit 3 storage fundamentals
Unit 3 storage fundamentals
Raj vardhan
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
John Ely Masculino
 
Forensics of a Windows System
Forensics of a Windows SystemForensics of a Windows System
Forensics of a Windows System
Conferencias FIST
 

Was ist angesagt? (20)

Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
 
Nessus-Vulnerability Tester
Nessus-Vulnerability TesterNessus-Vulnerability Tester
Nessus-Vulnerability Tester
 
Suricata
SuricataSuricata
Suricata
 
Unit 3 storage fundamentals
Unit 3 storage fundamentalsUnit 3 storage fundamentals
Unit 3 storage fundamentals
 
Microsoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMicrosoft Windows File System in Operating System
Microsoft Windows File System in Operating System
 
Enterprise class storage & san
Enterprise class storage & sanEnterprise class storage & san
Enterprise class storage & san
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
 
Intrusion detection and prevention system
Intrusion detection and prevention systemIntrusion detection and prevention system
Intrusion detection and prevention system
 
Ntfs forensics
Ntfs forensicsNtfs forensics
Ntfs forensics
 
Windows series operating system
Windows series operating systemWindows series operating system
Windows series operating system
 
Software Security
Software SecuritySoftware Security
Software Security
 
Lecture 6
Lecture 6Lecture 6
Lecture 6
 
Common linux ubuntu commands overview
Common linux ubuntu commands overviewCommon linux ubuntu commands overview
Common linux ubuntu commands overview
 
Linux User Management
Linux User ManagementLinux User Management
Linux User Management
 
Jhon the ripper
Jhon the ripper Jhon the ripper
Jhon the ripper
 
Cookies and sessions
Cookies and sessionsCookies and sessions
Cookies and sessions
 
Forensics of a Windows System
Forensics of a Windows SystemForensics of a Windows System
Forensics of a Windows System
 
Wireshark - presentation
Wireshark - presentationWireshark - presentation
Wireshark - presentation
 
Recon in Pentesting
Recon in PentestingRecon in Pentesting
Recon in Pentesting
 
Ultimate Guide to Setup DarkComet with NoIP
Ultimate Guide to Setup DarkComet with NoIPUltimate Guide to Setup DarkComet with NoIP
Ultimate Guide to Setup DarkComet with NoIP
 

Ähnlich wie Análisis Forense de la Memoria RAM de un sistema

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos
rcarrerah
 
Elementos de un computador
Elementos de un computadorElementos de un computador
Elementos de un computador
wendykarina
 
Leng prog clase_01
Leng prog clase_01Leng prog clase_01
Leng prog clase_01
diana242424
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
Rosariio92
 
Software y hardware2
Software y hardware2Software y hardware2
Software y hardware2
Jeriet
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
mcraul
 
Introducción montaje y mantenimiento de equipos
Introducción montaje y mantenimiento de equiposIntroducción montaje y mantenimiento de equipos
Introducción montaje y mantenimiento de equipos
ConfesorAD
 
IntroduccióN A La Programacion Tema 1
IntroduccióN A La Programacion Tema 1IntroduccióN A La Programacion Tema 1
IntroduccióN A La Programacion Tema 1
Andres Garcia
 

Ähnlich wie Análisis Forense de la Memoria RAM de un sistema (20)

Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Elementos de un computador
Elementos de un computadorElementos de un computador
Elementos de un computador
 
Leng prog clase_01
Leng prog clase_01Leng prog clase_01
Leng prog clase_01
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
 
Software y hardware2
Software y hardware2Software y hardware2
Software y hardware2
 
Perifericos de procesamiento de datos (parte interna
Perifericos de procesamiento de datos (parte internaPerifericos de procesamiento de datos (parte interna
Perifericos de procesamiento de datos (parte interna
 
Jin Unidad 2
Jin Unidad 2Jin Unidad 2
Jin Unidad 2
 
Taller de computación
Taller de computaciónTaller de computación
Taller de computación
 
2 power point
2 power point2 power point
2 power point
 
Arquitectura de-un-ordenador
Arquitectura de-un-ordenadorArquitectura de-un-ordenador
Arquitectura de-un-ordenador
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Introducción montaje y mantenimiento de equipos
Introducción montaje y mantenimiento de equiposIntroducción montaje y mantenimiento de equipos
Introducción montaje y mantenimiento de equipos
 
TC3
TC3TC3
TC3
 
Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallas
 
IntroduccióN A La Programacion Tema 1
IntroduccióN A La Programacion Tema 1IntroduccióN A La Programacion Tema 1
IntroduccióN A La Programacion Tema 1
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 

Mehr von Eventos Creativos

Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 

Mehr von Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 

Kürzlich hochgeladen

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Kürzlich hochgeladen (11)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 

Análisis Forense de la Memoria RAM de un sistema

  • 1.
  • 4.
  • 6. ¿Qué es la memoria RAM?
  • 7. Volátil Memoria de acceso aleatorio Memoria para programas y datos Memoria temporal Se pierde al apagar el equipo
  • 8. Introducción Qué puede contener un volcado de memoria Procesos en ejecución Iexplore LSASS Procesos en fase de terminación Conexiones activas TCP UDP Puertos
  • 9. ¿Qué hay en la RAM?
  • 10. Ficheros mapeados Drivers Ejecutables Ficheros Objetos Caché Direcciones Web Passwords Comandos tipeados por consola Elementos ocultos Rootkits (Userland & KernelLand)
  • 11. ¿Cómo se estructura la memoria? KernelLand (Ring0) Tendrá permiso para acceder a todo el espacio de memoria Podrá comunicarse con el Hardware UserLand (Ring3) Apis podrán comunicarse con el Kernel Nivel con menor privilegio Acceso a Memoria Virtual
  • 12. Qué se busca y por qué… EPROCESS Estructura que contiene datos relativos a un proceso Representación que hace Windows para cada proceso Fecha Creación, cuotas de uso, Token, PID THREADS Cada proceso puede crear 1 o más hilos en ejecución Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Tiempo de Kernel PEB Información sobre la Imagen Estructuras que residen en el espacio de memoria del usuario Virtual Memory & PhysicalMemory Permite al proceso usar más memoria que la que hay realmente Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria
  • 13. Captura de memoria RAM Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones Verificar la integridad de los datos Se tiene que preparar el sistema para que lo soporte
  • 14. No sólo se captura lo activo… La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
  • 15. Memoria RAM Paginada Paginación Pagefile.sys Hyberfil.sys Configuración de limpieza http://support.microsoft.com/kb/314834 HKEY_LOCAL_MACHINEYSTEMurrentControlSetontrolession Manageremory Management Reg_DWORD type ClearPagefileAtShutdown Value = 1 (Activado)
  • 16. Métodos de Adquisición Software: NotMyFault (Sysinternals) SystemDump (Citrix) LiveKD (Sysinternals) Teclado HKEY_LOCAL_MACHINEYSTEMurrentControlSetervices8042prtarameters DWORD (CrashOnCtrlScroll) Hardware Copiadoras
  • 17. Verificar la integridad DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos DumpCheck (Citrix) Creada por DmitryVostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
  • 20. Análisis desestructurado de memoria RAM Strings de Sysinternals Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
  • 21. Análisis estructurado dememoria RAM Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 Una de las más completas en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3
  • 22. Detección de procesos ocultos Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003 Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser
  • 23. Conexiones de Red A partir de un PID se puede Extraer información sobre conexiones de red Sockets abiertos Procesos en fase de terminación
  • 24. Representación gráfica Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses
  • 25. Volatility Volatility Inicialmente desarrollada por KomokuInc Comprada por Microsoft en 2008 Proyecto vivo! Capaz de buscar sockets, puertos, direcciones IP, etc..
  • 27. Conclusiones Cifrado de RAM Cumplimiento de LOPD? Ficheros temporales ¿Es sólo la RAM? Ficheros temporales de: Documentos ofimáticos Hyberfil.sys Impresión de documentos
  • 28. Herramientas Pstools (Sysinternals) http://download.sysinternals.com/Files/PsTools.zip PtFinder http://computer.forensikblog.de/files/ptfinder/ptfinder-collection-current.zip Windbg http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx Memparser http://sourceforge.net/projects/memparser Volatools https://www.volatilesystems.com/ Wmft http://forensic.seccure.net/ Hidden.dll (Plugin para Windbg) http://forensic.seccure.net/tools/hidden.zip
  • 29. Referencias Introducción a la informática forense en entornos Windows Autor: Silverhack http://www.elhacker.net/InfoForenseWindows.htm Introducción a la informática forense en entornos Windows 2ª parte Autor: Silverhack http://www.elhacker.net/InfoForenseWindows2.htm Introducción a la informática forense en entornos Windows 3ª parte Autor: Silverhack http://www.elhacker.net/InfoForense3.html Formas de Analizar un Virus Autor: Juan Garrido http://windowstips.wordpress.com/2007/02/25/formas-de-analizar-un-virus-un-paseo-por-rapidshare/ Comportamiento Virus Plataformas Windows Autor: Silverhack http://www.elhacker.net/comportamiento-virus.htm
  • 30. Retos Forenses http://www.seguridad.unam.mx/eventos/reto/ http://www.dfrws.org/2005/challenge/index.html http://retohacking8.elladodelmal.com/
  • 31. WebCast Microsoft Análisis Forense Sistemas Windows Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326593&EventCategory=4&culture=es-ES&CountryCode=ES Análisis Forense entorno Malware Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326597&EventCategory=5&culture=es-VE&CountryCode=VE
  • 32. WebCast Microsoft Análisis Forense de RAM en Sistemas Windows Ponente: Juan Garrido (Consultor seguridad I64) UrlWebCast https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032396459&EventCategory=5&culture=es-ES&CountryCode=ES
  • 33. TechNews de Informática 64 Suscripción gratuita en http://www.informatica64.com/boletines.html

Hinweis der Redaktion

  1. Stacked, 3-D text at dramatic angle(Intermediate)To reproduce the text on this slide, do the following:On the Home tab, in theSlides group, click Layout, and then click Blank.On the Insert tab, in the Text group, click Text Box, and then on the slide, drag to draw the text box.Enter text in the text box, select the text, and then on the Home tab, in the Font group, select Impact from the Font list, and then change the font size of each line so that the text is approximately the same width. For example, if you entered FIRST on one line, SECOND on the next line, and so on (as shown on the slide), do the following:Select the first line of text, and then on the Home tab, in the Font group, enter 100 in the Font Size box. Select the second line of text, and then on the Home tab, in the Font group, enter 70 in the Font Size box. Select the third line of text, and then on the Home tab, in the Font group, enter 94 in the Font Size box. Select the fourth line of text, and then on the Home tab, in the Font group, enter 75.5 in the Font Size box. Select all of the text. On the Home tab, in the Font group, click Character Spacing, and then click More Spacing. In the Font dialog box, on the Character Spacingtab, in the Spacing list, select Expanded. In the By box, enter 2.On the Home tab, in the Paragraph group, click Center to center the text in the text box.Under Drawing Tools, on the Format tab, in the bottom right corner of the WordArt Styles group, click the Format Text Effects dialog box launcher. In the Format Text Effects dialog box, click Text Fill in the left pane, select Gradient fill in the Text Fill pane, and then do the following:In the Type list, select Radial.Click the button next to Direction, and then click From Corner (second option from the left).Under Gradient stops, click Add or Remove until two stops appear in the drop-down list.Also under Gradient stops, customize the gradient stops that you added as follows:Select Stop 1 from the list, and then do the following:In the Stop position box, enter0%.Click the button next to Color, and then under Theme Colorsclick White, Background 1, Darker 15%(third row, first option from the left).Select Stop 2 from the list, and then do the following:In the Stop position box, enter100%.Click the button next to Color, and then under Theme Colorsclick White, Background 1, Darker 50%(sixth row, first option from the left).Also in the Format Text Effects dialog box, click 3-D Rotation in the left pane. In the 3-D Rotation pane, click the button next to Presets, and then under Perspectiveclick Perspective Heroic Extreme Left (third row, second option from the left).Also in the Format Text Effects dialog box, click 3-D Format in the left pane, and then do the following in the 3-D Format pane: Under Bevel, click the button next to Top, and then under Bevel click Cool Slant (first row, fourth option from the left). Under Depth, in the Depth box, enter 70 pt. Also in the Format Text Effects dialog box, click Shadowin the left pane. In the Shadowpane, click the button next to Presets, and then under Perspectiveclick Perspective Diagonal Upper Right (first row, second option from the left). To reproduce the background on this slide, do the following:Right-click the slide background area, and then clickFormat Background.In the Format Background dialog box, click Fill in the left pane, select Gradient fill in the Fill pane, and then do the following:In the Type list, select Linear.Click the button next to Direction, and then click Linear Down (first row, second option from the left).Under Gradient stops, click Add or Remove until two stops appear in the drop-down list.Also under Gradient stops, customize the gradient stops that you added as follows:Select Stop 1 from the list, and then do the following:In the Stop position box, enter64%.Click the button next to Color, and then under Theme Colorsclick Black, Text 1(first row, second option from the left).Select Stop 2 from the list, and then do the following:In the Stop position box, enter100%.Click the button next to Color, and then under Theme Colorsclick Black, Text 1, Lighter 35% (third row, second option from the left).