Escolar Documentos
Profissional Documentos
Cultura Documentos
Memória
Conceitos
Conceitos de
Forense de
Memória
2
Conceitos sobre Forensr de Memória
Forense
Etapa da Computação em
Forense que Memória
consiste em um processo de captura
dos dados da memória RAM, através da criação de um arquivo de DUMP
da memória, sua posterior análise que se baseia na extração de dados
do arquivo de DUMP criado.
Embora seja uma parte da Computação Forense que passou a ter uma
maior importância recentemente, a Forense Memória torna-se cada vez
mais estratégica, diante de um cenário de sistemas computacionais
com grande capacidade de armazenamento, virtualização e
Computação nas Nuvens.
3
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Conceitos sobre Forens de Memória
Importante lembrar Forense
que mesmo em Memória
a memória RAM sendo volátil, essa
volatilidade pode variar de acordo com o contexto, ou seja, ainda existe
a possibilidade de recuperação de dados da memória RAM após o
desligamento da máquina.
Deve-se compreender que muitos dados que poderiam ser úteis a uma
perícia correm o risco de serem perdidos no desligamento do sistema
ou mesmo de serem reescritos no funcionamento normal do sistema,
dessa forma a criação de um DUMP de memória torna-se necessário
para o perito ter uma “fotografia” real do estado do sistema operacional
comprometido.
4
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Conceitos sobre Forens de Memória
Essa característica éForense em como
devido a forma Memória
a memória RAM funciona.
Embora diferente de uma mídia de memória secundária de
armazenamento (exemplo: disco Rígido ,Pendrive), onde se tem uma
taxa de persistência de um dado em uma área não alocadas de memória
que é muito menor.
5
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Onde pode-se aplicar a Forense de Memória
Dumps de Memória de:
● Estações de Trabalhos
● Servidores convencionais
● Máquinas Virtuais
●
● Dispositivos móveis como Smartphones
● Análise de Malware
6
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Forense em Memória vs Forense in Vivo
A Forense In Vivo (Live Forensic) é um processo onde perito busca
coletar dados periciais do sistema durante o seu funcionamento, para
posterior análise e classificação desses dados como pistas, evidências
ou mesmo em provas que possa sustentar um indício e/ou Hipótese.
7
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Forense em Memória vs Forense in Vivo
A Forense in Vivo (Live Forense_, é o processo de coleta de
dados do estado do sistema operacional ea duplicação das
informações da memória RAM, denominado de "Dump de
Memória"
8
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Vantagens da Forense de Memória
A Forense de Memória traz um nova dinâmica para Computação
Forense, pois a evolução das ferramentas possibilitam a extração
de dados periciais que dependendo do incidente de segurança ou
análise forense que está sendo realizada.
9
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Vantagens da Forense de Memória
A correlação de informação é uma ação constante no processo de
análise realizado pelo perito, dessa forma as informações que podem ser
levantadas em um processo de Forense de Memória.
10
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Processo da Forense de Memória
Extração de Strings
Coleta, Criação do
DUMP de memória
FORENSE
DE
MEMÓRIA
Elaboração de Relatório Extração e análise de
(Laudo Técnico) informações do estado do S.O.
(Volatility)
Recuperação e
análise de artefatos
11
Dump de Memória
12
Dump de Memória
É possível dividir a partir de um ponto de vista macro em duas partes, o
momento da geração do Dump de memória e análise do mesmo.
13
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Dump de Memória
Entretanto demanda-se que uma placa de expansão com essa
capacidade seja instalada previamente, um bom exemplo é a placa PCI
Tribble card.
14
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Desafios - Proteção do /dev/mem
Proteção de acesso ao /dev/mem comum nas distribuições Linux
pode ser um problema durante a Forense In Vivo. Dessa forma é
recomendável ao sysadmin preparar antecipadamente sua Linux
Box com alguma forma que possibilite a criação de um Dump de
memória contornando a proteção do /devm/mem.
# dd if=/dev/mem of=/tmp/mem.dump
dd: reading `/dev/mem': Operation not permitted
2056+0 records in
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.153596 s, 6.9 MB/s
15
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Proteção do /dev/mem
# tail /var/log/messages | grep /dev/mem --color
Nov 6 16:45:04 ichigeki kernel: Program dd tried to access
/dev/mem between 101000->101200
16
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Módulo Crash
Utilizar o modulo crash.ko que possibilita realizar o dump da
memória mesmo que exista a restrição de acesso ao /dev/mem.
Sendo uma alternativa para kernels antigos.
17
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Módulo Crash
Recebendo informações do dump de memória usando módulo
crash.ko .
18
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Módulo Lime
É um módulo de kernel carregável (LKM) que possibilita a criação do
Dump em sistema Linux ou sistemas baseados no kernel do Linux como
sistema operacional utilizados em dispositivos móveis como Android.
19
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Conclusão
A Forense de Memória até pode ser decisiva em uma Perícia,
principalmente quando o alvo da análise for um incidente baseado em
um Malware.
Mas deve-se ter em mente que em incidentes de segurança mais
elaborados e/ou que tenham dados periciais serem analisados em
outros etapas de uma perícia (Post Mortem, Rede, In Vivo).
Diante disso a Forense de Memória poderá ser também uma fonte de
informação importante.
23
Obrigado Para manter contato:
sandromelo.sec@gmail.com
https://www.linkedin.com/in/sandromelo
24