SlideShare ist ein Scribd-Unternehmen logo

Análisis Forense Memoria RAM

Als PPTX, PDF herunterladen
Conferencias FIST
Conferencias FIST
Technologie
1 von 30
► Introducción ► Otros métodos de adquisición ► Análisis memoria en plataformas Windows  Verificar la integridad  Recuperación de datos  Detección procesos ocultos  Conexiones de red  Representación gráfica ► Herramientas ► Preguntas
RAM, pagefile Análisis de Red Sistema de .sys,hiberfil.sy s ficheros, volu men Aplicaciones y sistema operativo Objetivo
► Qué puede contener un volcado de memoria  Procesos en ejecución  Procesos en fase de terminación  Conexiones activas TCP UDP Puertos  Ficheros mapeados Drivers Ejecutables Ficheros  Objetos Caché Direcciones Web Passwords Comandos tipeados por consola  Elementos ocultos
 SSDT Servicio de tabla de descriptores Utilizado por Windows Encamina llamadas del sistema hacia las API Encamina llamadas realizadas por Ring(3) al sistema  Espacio de direcciones del sistema  Espacio de direcciones del usuario  Proceso !=Programa Programa.- Secuencia instrucciones Proceso.- Contenedor. Guarda recursos que podrá utilizar el programa
► Buscando todo tipo de información almacenada  Estructuras EPROCESS Bloque de procesos Contiene atributos propios Punteros a otras estructuras Para cada kernel puede ser diferente Dt –a -b –v _EPROCESS (WinDBG)  Hilos en ejecución Un proceso puede tener uno o más hilos en ejecución !Thread (WinDBG)
►La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones ►Verificar la integridad de los datos? ►Se tiene que preparar el sistema para que lo soporte
►NotMyFault (Sysinternals) ►SystemDump (Citrix) ►LiveKD (Sysinternals) ►Teclado
►DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos ►DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
►Strings de Sysinternals Herramientapara extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… ►FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
► Windbg  Poderosa herramienta de depuración  Necesitamos los símbolos para poder trabajar con procesos  Pensada para “todos los públicos”  Mucha granularidad a nivel de comandos  Escalable (Plugins)  Se necesita mucha experiencia ► Memparser  Nace con un reto forense de RAM (DFRWS 2005)  Válida sólo para Windows 2000  La más completa en cuanto a funcionalidad  Evoluciona a las KntTools (Pago por licencia) ► Ptfinder  Desarrollada en Perl  Extrae información sobre procesos, threads y procesos ocultos (DKOM)  Interpretación gráfica de la memoria  Válida para W2K, XP,XPSP2, W2K3
► Wmft  Creada por Mariusz Burdach (http://forensic.seccure.net)  Demo para BlackHat 2006  Válida para Windows 2003 ► Memory Analisys Tools  Creada por Harlan Carvey (Windows Incident Response)  Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)  Válida para Windows 2000  Similar a Memparser
►Volatools Desarrollada por Komoku Inc It’s ALIVE!! POC capaz de buscar sockets, puertos, direcciones IP, etc.. Soporte XPSP3!!
► Ptfinder  En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.  Podemos analizar qué procesos son los padres y cuáles los hijos  Ideal para proyectos forenses
►Pstools (Sysinternals) ►PtFinder ►Windbg ►Memparser ►Volatools ►Wmft ►Hidden.dll (Plugin para Windbg)
►Sí!! Scripts nuevos Nuevas herramientas ENCASE Ptfinder soporta Windows VISTA!! Hidden.dll (Mariusz Burdach) Analizador de procesos ocultos para Windbg
► 08:00 - 09:00 Registro ► 09:00 - 09:15 Inauguración ► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos) ► 10:30 - 11:45 La Investigación en Seguridad ► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España) ► 11:45 - 12:15 Investigación del Cibercrimen ► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil ► 12:15 - 13:00 DESCANSO Y CÓCTEL ► 13:00 - 13:30 Tecnologías Antiforense ► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional ► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada ► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo ► URL: http://www.capsdesi.upm.es/
►Suscripción gratuita en technews@informatica64.com
Creative Commons You are free: Attribution-NoDerivs 2.0 •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Análisis Forense Memoria RAM

Empfohlen

Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 

Empfohlen

Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Johntheripper
JohntheripperJohntheripper
JohntheripperAlberto Pretto
 
Johntheripper
JohntheripperJohntheripper
JohntheripperOrlando Carrasco
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentosadrianavega123
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramientaEgdares Futch H.
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 
Sergio y cogollo (2)
Sergio y cogollo (2)Sergio y cogollo (2)
Sergio y cogollo (2)Diego Kilatonn
 
Hardware y software
Hardware y softwareHardware y software
Hardware y softwareEduardo Uvidia
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
intro.pptx
intro.pptxintro.pptx
intro.pptxSElmanderMaroneWerne
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoMario Alberto Parra Alonso
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativosrcarrerah
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 

Weitere ähnliche Inhalte

Was ist angesagt?

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentosadrianavega123
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramientaEgdares Futch H.
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 

Was ist angesagt? (10)

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentos
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajo
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrack
 
Sergio y cogollo (2)
Sergio y cogollo (2)Sergio y cogollo (2)
Sergio y cogollo (2)
 
Hardware y software
Hardware y softwareHardware y software
Hardware y software
 

Ähnlich wie Análisis Forense Memoria RAM

Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativosrcarrerah
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 
Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)YOLAGAR
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computaciónYaskelly Yedra
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Desarrollo de las pc.ppt
Desarrollo de las pc.pptDesarrollo de las pc.ppt
Desarrollo de las pc.pptvaradir1983
 

Ähnlich wie Análisis Forense Memoria RAM (20)

Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
intro.pptx
intro.pptxintro.pptx
intro.pptx
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computación
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Desarrollo de las pc.ppt
Desarrollo de las pc.pptDesarrollo de las pc.ppt
Desarrollo de las pc.ppt
 
Opensolaris flisol
Opensolaris flisolOpensolaris flisol
Opensolaris flisol
 

Mehr von Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Mehr von Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Kürzlich hochgeladen

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Kürzlich hochgeladen (15)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Análisis Forense Memoria RAM

  • 1.
  • 2. ► Introducción ► Otros métodos de adquisición ► Análisis memoria en plataformas Windows  Verificar la integridad  Recuperación de datos  Detección procesos ocultos  Conexiones de red  Representación gráfica ► Herramientas ► Preguntas
  • 3.
  • 4. RAM, pagefile Análisis de Red Sistema de .sys,hiberfil.sy s ficheros, volu men Aplicaciones y sistema operativo Objetivo
  • 5. Qué puede contener un volcado de memoria  Procesos en ejecución  Procesos en fase de terminación  Conexiones activas TCP UDP Puertos  Ficheros mapeados Drivers Ejecutables Ficheros  Objetos Caché Direcciones Web Passwords Comandos tipeados por consola  Elementos ocultos
  • 6. SSDT Servicio de tabla de descriptores Utilizado por Windows Encamina llamadas del sistema hacia las API Encamina llamadas realizadas por Ring(3) al sistema  Espacio de direcciones del sistema  Espacio de direcciones del usuario  Proceso !=Programa Programa.- Secuencia instrucciones Proceso.- Contenedor. Guarda recursos que podrá utilizar el programa
  • 7. ► Buscando todo tipo de información almacenada  Estructuras EPROCESS Bloque de procesos Contiene atributos propios Punteros a otras estructuras Para cada kernel puede ser diferente Dt –a -b –v _EPROCESS (WinDBG)  Hilos en ejecución Un proceso puede tener uno o más hilos en ejecución !Thread (WinDBG)
  • 8. ►La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
  • 9. ►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones ►Verificar la integridad de los datos? ►Se tiene que preparar el sistema para que lo soporte
  • 10.
  • 12.
  • 13. ►DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos ►DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
  • 14. ►Strings de Sysinternals Herramientapara extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… ►FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
  • 15. Windbg  Poderosa herramienta de depuración  Necesitamos los símbolos para poder trabajar con procesos  Pensada para “todos los públicos”  Mucha granularidad a nivel de comandos  Escalable (Plugins)  Se necesita mucha experiencia ► Memparser  Nace con un reto forense de RAM (DFRWS 2005)  Válida sólo para Windows 2000  La más completa en cuanto a funcionalidad  Evoluciona a las KntTools (Pago por licencia) ► Ptfinder  Desarrollada en Perl  Extrae información sobre procesos, threads y procesos ocultos (DKOM)  Interpretación gráfica de la memoria  Válida para W2K, XP,XPSP2, W2K3
  • 16. Wmft  Creada por Mariusz Burdach (http://forensic.seccure.net)  Demo para BlackHat 2006  Válida para Windows 2003 ► Memory Analisys Tools  Creada por Harlan Carvey (Windows Incident Response)  Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)  Válida para Windows 2000  Similar a Memparser
  • 17. ►Volatools Desarrollada por Komoku Inc It’s ALIVE!! POC capaz de buscar sockets, puertos, direcciones IP, etc.. Soporte XPSP3!!
  • 18. ► Ptfinder  En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.  Podemos analizar qué procesos son los padres y cuáles los hijos  Ideal para proyectos forenses
  • 19.
  • 21. ►Sí!! Scripts nuevos Nuevas herramientas ENCASE Ptfinder soporta Windows VISTA!! Hidden.dll (Mariusz Burdach) Analizador de procesos ocultos para Windbg
  • 22.
  • 23.
  • 24.
  • 25.
  • 26. 08:00 - 09:00 Registro ► 09:00 - 09:15 Inauguración ► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos) ► 10:30 - 11:45 La Investigación en Seguridad ► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España) ► 11:45 - 12:15 Investigación del Cibercrimen ► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil ► 12:15 - 13:00 DESCANSO Y CÓCTEL ► 13:00 - 13:30 Tecnologías Antiforense ► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional ► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada ► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo ► URL: http://www.capsdesi.upm.es/
  • 27. ►Suscripción gratuita en technews@informatica64.com
  • 28.
  • 29. Creative Commons You are free: Attribution-NoDerivs 2.0 •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.