Sobre a BandTec

A BandTec uma faculdade de tecnologia superior.

Superior pela qualidade de seus professores. Superior pelas tecnologias

educacionais. Superior pela metodologia que equilibra teoria e prtica de
forma exemplar. E superior, acima de tudo, por crer que est formando
no apenas tecnlogos, mas lderes em suas reas, o que exige uma
formao tcnica e tambm humanstica, ampla e profunda.

Forense
de
Memria

Conceitos sobre
Forense em Memria
Parte Computao Forense que consiste em um processo de
captura dos dados da memria RAM, atravs da criao de
um arquivo de DUMP da memria, sua posterior anlise que se
baseia na extrao de dados do arquivo de DUMP criado.
Esse arquivo ser um replica de todos os anlise dos dados
armazenados em memria voltil at a interverso do
Analista de segurana/Perito.
Sendo importante lembrar que a memria um estado voltil
mesmo que pode variar de acordo com o contexto.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -4

Conceitos sobre
Forense em Memria
Deve-se compreender que muito dados quee poderiam ser
teis a uma percia correm o risco de serem perdidos no
desligamento do sistema ou mesmo de serem reescritos no
funcionamento normal do sistema, dessa forma a criao de
um DUMP de memria torna-se necessrio de o perito
desejar ter uma fotografia real do estado do sistema
operacional comprometido.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -5

Conceitos sobre
Forense em Memria
Essa caracterstica devido a forma como a memria
RAM funciona. Diferente de um mdia secundria de
armazenamento como um disco Rgido um Pendrive, tem a
ter um taxa de persistncia de um dado em um rea no
alocadas da memria muito menor.
interessante destacar que disco SSD tem um
funcionamento similar a um pente de memria, dessa
forma eles tambm tem uma tendncia a baixa
persistncia de dados em rea no alocadas

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -6

Forense em Memria
vs
Forense in Vivo
A Forense In Vivo um processo onde perito busca coletar
dados periciais ! do sistema durante o seu funcionamento,!
para posterior analise e classificao desses dados como
pistas, evidncias ou mesmo um provas que possa sustentar
um indcio e/ou Hiptese.
A coleta que constituem de informaes na Forense in Vivo
consiste em um processo que utilizar boas prticas para
tentar coletar os dados da melhor forma possvel, as vezes
encaminhando pela rede ou copiando para um mdia removvel,
evitando ao mximo alterar o estado do sistema Operacional.
Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -7

Forense em Memria
vs
Forense in Vivo
Entre os tipos de dados coletados tambm se encontram a
duplicao das informaes da memria RAM, !denominado de
"Dump de Memria"
A Forense de memria justamente a percia que realizado
nos dados extrados do Dump de Memria.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -8

Vantagens da Forense de Memria

A Forense de Memria trs um nova dinmica para
Computao Forense, pois a evoluo das ferramentas!
possibilitam a extrao de dados pericial que
dependendo do incidente de segurana ou investigao
que esta sendo feita, !podem possibilitar a identificao
de evidncias e provas que podero ser relevantes e
capazes de elucidar como um determinado incidente
aconteceu a partir do contexto do estado do sistema
computacional.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -9

Vantagens da Forense de Memria

A correlao de informao uma ao constante no
processo de analise realizado pelo perito, dessa forma
as informaes que podem ser levantadas em um
processo de Forense de Memria, passam ser mais uma
fonte para tambm possibilita as correlaes com
informaes com outras etapas da Computao Forense
(Forense de Rede, Forense In Vivo e Post Mortem
Forense).

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -10

Vantagens da Forense de Memria

Outro ponto que deve-se considerar que a Post
Mortem Forense torna-se cada vez mais complicada
diante de mdias de armazenamento cada vez maiores,
ou mesmo o uso de criptografia no armazenamento de
dados, o que na Forense de Memria pode ter a
oportunidade de recuperao de chaves e senhas.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -11

Dump de Memria
possvel dividir a partir de um ponto de vista macro em
duas partes, o momento da gerao do Dump de memria
e !analise do mesmo.
Similar a duplicao de imagens (disco, pen-drive), o
Dump de memria um procedimento de duplicao de
todo contedo da memria RAM, ou seja, uma copia bit
bit. !Essa cpia pode ser feita a partir de hardware e/ou
software especializado.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -12

Dump de Memria
Embora no seja de uso universal a possibilidade de
realizao de Dump de memria via hardware, pode ser um
recurso interessante para ambientes crticos onde no
pode desligar os servidores. Entretanto demanda-se que
um placa de expanso com essa capacidade seja instalada
previamente, um bom exemplo a placa PCI Tribble card.
A forma mais comum via a realizao do Dump de
memria via software, escrevendo em uma mdia externa
(removvel). Existem algumas opes de software para
realizar esse procedimento, no caso de sistemas GNU
Linux podemos citar: Memdump, dd, Lime.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -13

Dados Perciais na Memria

Com o uso do Volatility possvel extrair informaes
interessantes do estado do Sistema Operacional a
partir de um Dump de Memria:
Informao de processos que estavam ativos
Informaes de conexes / sockets de rede
Informaes de bibliotecas dinmicas (ou Libs) em
sistema like Unix (Linux, MaC OS) e DLL (Windows) que
estavam carregadas.
Informaes de Arquivos independentes que estavam
vinculadas aos processos

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -14

Dados Perciais na Memria

Acesso a memria enderevel
Mdulos de kernel especficos para a ferramenta
Mapeamento fsico para endereos virtuais (strings de
processo)
Digitalizao de processos: threads, sockets, conexes,
mdulos

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -15

Volatility Conceitos
O Volatility foi uma ferramenta que surgiu em um evento
DFRWS, inicialmente utilizadas em uma soluo de um
desafio forense.
Atualmente o Volatility uma das melhores ferramentas
para anlise de forense de memria e seu desenvolvimento
constante ter trazido nos recursos para os peritos
forenses, embora seja ainda uma rea nova da Computao
Forense, existe um grande espao para melhorias nas
ferramentas j existente.

Prof. Sandro Melo sandro.bandtec@bandtec.com.br -- www.bandtec.com.br -17