1.
► Introducción
► Otros métodos de adquisición
► Análisis memoria en plataformas Windows
 Verificar la integridad
 Recuperación de datos
 Detección procesos ocultos
 Conexiones de red
 Representación gráfica
► Herramientas
► Preguntas

2.
RAM, pagefile
Análisis de Red Sistema de
.sys,hiberfil.sy
s
ficheros, volu
men
Aplicaciones y
sistema
operativo
Objetivo

3.
► Qué puede contener un volcado de memoria
 Procesos en ejecución
 Procesos en fase de terminación
 Conexiones activas
TCP
UDP
Puertos
 Ficheros mapeados
Drivers
Ejecutables
Ficheros
 Objetos Caché
Direcciones Web
Passwords
Comandos tipeados por consola
 Elementos ocultos

4.
 SSDT
Servicio de tabla de descriptores
Utilizado por Windows
Encamina llamadas del sistema hacia las API
Encamina llamadas realizadas por Ring(3) al sistema
 Espacio de direcciones del sistema
 Espacio de direcciones del usuario
 Proceso !=Programa
Programa.- Secuencia instrucciones
Proceso.- Contenedor. Guarda recursos que podrá utilizar el
programa

5.
► Buscando todo tipo de información almacenada
 Estructuras EPROCESS
Bloque de procesos
Contiene atributos propios
Punteros a otras estructuras
Para cada kernel puede ser diferente
Dt –a -b –v _EPROCESS (WinDBG)
 Hilos en ejecución
Un proceso puede tener uno o más hilos en ejecución
!Thread (WinDBG)

6.
►La información que podemos recopilar depende de
muchos factores
Sistema operativo
Time Live de la máquina
Tamaño de la memoria

7.
►Siguiendo el orden de volatilidad, los datos
contenidos en la RAM son extremadamente volátiles.
Reinicios
Apagados
Corrupciones
►Verificar la integridad de los datos?
►Se tiene que preparar el sistema para que lo soporte

8.
►NotMyFault (Sysinternals)
►SystemDump (Citrix)
►LiveKD (Sysinternals)
►Teclado

9.
►DumpChk (Support Tools)
Herramienta para verificar la integridad de un
volcado de memoria
Muy completa
(Uptime, Arquitectura, Equipo, fallo, etc…)
Línea de comandos
►DumpCheck (Citrix)
Creada por Dmitry Vostokov
Nos muestra sólo si cumple con la integridad o no
Entorno gráfico

10.
►Strings de Sysinternals
Herramientapara extraer cadenas (ASCII &
UNICODE) de un archivo
Podemos identificar objetos almacenados en
memoria, datos
persistentes, conexiones, Passwords, etc…
►FindStr (Microsoft nativa)
Herramienta utilizada para buscar una cadena de
texto en el interior de uno o varios archivos
Con la combinación de ambas herramientas podemos
extraer gran cantidad de información

11.
► Windbg
 Poderosa herramienta de depuración
 Necesitamos los símbolos para poder trabajar con procesos
 Pensada para “todos los públicos”
 Mucha granularidad a nivel de comandos
 Escalable (Plugins)
 Se necesita mucha experiencia
► Memparser
 Nace con un reto forense de RAM (DFRWS 2005)
 Válida sólo para Windows 2000
 La más completa en cuanto a funcionalidad
 Evoluciona a las KntTools (Pago por licencia)
► Ptfinder
 Desarrollada en Perl
 Extrae información sobre procesos, threads y procesos ocultos (DKOM)
 Interpretación gráfica de la memoria
 Válida para W2K, XP,XPSP2, W2K3

12.
► Wmft
 Creada por Mariusz Burdach (http://forensic.seccure.net)
 Demo para BlackHat 2006
 Válida para Windows 2003
► Memory Analisys Tools
 Creada por Harlan Carvey (Windows Incident Response)
 Disponibles en Sourceforge
(http://sourceforge.net/project/showfiles.php?group_id=164158)
 Válida para Windows 2000
 Similar a Memparser

13.
►Volatools
Desarrollada por Komoku Inc
It’s ALIVE!!
POC capaz de buscar sockets, puertos, direcciones
IP, etc..
Soporte XPSP3!!

14.
► Ptfinder
 En todas sus versiones, esta herramienta es capaz de representar
gráficamente el estado de la memoria.
 Podemos analizar qué procesos son los padres y cuáles los hijos
 Ideal para proyectos forenses

15.
►Pstools (Sysinternals)
►PtFinder
►Windbg
►Memparser
►Volatools
►Wmft
►Hidden.dll (Plugin para Windbg)

16.
►Sí!!
Scripts nuevos
Nuevas herramientas ENCASE
Ptfinder soporta Windows VISTA!!
Hidden.dll (Mariusz Burdach)
Analizador de procesos ocultos para Windbg

17.
► 08:00 - 09:00 Registro
► 09:00 - 09:15 Inauguración
► 09:15 - 10:30 Adventures in Network Security
► Dra. Radia Perlman, Sun Microsystems (Estados Unidos)
► 10:30 - 11:45 La Investigación en Seguridad
► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España)
► 11:45 - 12:15 Investigación del Cibercrimen
► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil
► 12:15 - 13:00 DESCANSO Y CÓCTEL
► 13:00 - 13:30 Tecnologías Antiforense
► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional
► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada
► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen
► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo
► URL: http://www.capsdesi.upm.es/

18.
►Suscripción gratuita en technews@informatica64.com

19.
Creative Commons
You are free: Attribution-NoDerivs 2.0
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author credit.
No Derivative Works. You may not alter, transform, or build upon this
work.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of
this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.