AULA FORENSE MEMORIA DFIR v0

Forense de
Memória
Conceitos
Conceitos de
Forense de
Memória
2
Conceitos sobre Forensr de Memória
Forense
Etapa da Computação em
Forense que Memória
consiste em um processo de captura
dos dados da memória RAM, através da criação de um arquivo de DUMP
da memória, sua posterior análise que se baseia na extração de dados
do arquivo de DUMP criado.
Esse arquivo será uma replica de todos os análise dos dados

armazenados em memória volátil até a intervenção do Analista de
segurança/Perito.
Embora seja uma parte da Computação Forense que passou a ter uma
maior importância recentemente, a Forense Memória torna-se cada vez
mais estratégica, diante de um cenário de sistemas computacionais
com grande capacidade de armazenamento, virtualização e
Computação nas Nuvens.
3
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Conceitos sobre Forens de Memória
Importante lembrar Forense
que mesmo em Memória
a memória RAM sendo volátil, essa
volatilidade pode variar de acordo com o contexto, ou seja, ainda existe
a possibilidade de recuperação de dados da memória RAM após o
desligamento da máquina.
Deve-se compreender que muitos dados que poderiam ser úteis a uma
perícia correm o risco de serem perdidos no desligamento do sistema
ou mesmo de serem reescritos no funcionamento normal do sistema,
dessa forma a criação de um DUMP de memória torna-se necessário
para o perito ter uma “fotografia” real do estado do sistema operacional
comprometido.
4
Conceitos sobre Forens de Memória
Essa característica éForense em como
devido a forma Memória
a memória RAM funciona.
Embora diferente de uma mídia de memória secundária de
armazenamento (exemplo: disco Rígido ,Pendrive), onde se tem uma
taxa de persistência de um dado em uma área não alocadas de memória
que é muito menor.
É interessante destacar que discos SSD tem um funcionamento similar a

um pente de memória, dessa forma eles também têm uma tendência a
baixa persistência de dados em área não alocadas.
5
Onde pode-se aplicar a Forense de Memória
Dumps de Memória de:
● Estações de Trabalhos
● Servidores convencionais
● Máquinas Virtuais
●
● Dispositivos móveis como Smartphones
Devido a natureza da Forense de Memória, também é considerada uma

ótima abordagem para:
● Análise de Malware
6
Forense em Memória vs Forense in Vivo
A Forense In Vivo (Live Forensic) é um processo onde perito busca
coletar dados periciais do sistema durante o seu funcionamento, para
posterior análise e classificação desses dados como pistas, evidências
ou mesmo em provas que possa sustentar um indício e/ou Hipótese.
A coleta que constituem de informações na Forense in Vivo consiste em

um processo que utiliza boas práticas para tentar coletar os dados da
melhor forma possível, às vezes encaminhado pela rede ou copiando
para um mídia removível, evitando ao máximo alterar o estado do
sistema Operacional.
7
Forense em Memória vs Forense in Vivo
A Forense in Vivo (Live Forense_, é o processo de coleta de
dados do estado do sistema operacional ea duplicação das
informações da memória RAM, denominado de "Dump de
Memória"
A Forense de memória é justamente a perícia que é realizado nos

dados extraídos do Dump de Memória.
8
Vantagens da Forense de Memória
A Forense de Memória traz um nova dinâmica para Computação
Forense, pois a evolução das ferramentas possibilitam a extração
de dados periciais que dependendo do incidente de segurança ou
análise forense que está sendo realizada.
Podendo-se possibilitar a identificação de evidências e provas que

poderão ser relevantes e capazes de elucidar como um
determinado incidente aconteceu, a partir do contexto do estado
do sistema computacional.
9
Vantagens da Forense de Memória
A correlação de informação é uma ação constante no processo de
análise realizado pelo perito, dessa forma as informações que podem ser
levantadas em um processo de Forense de Memória.
Tornando-se mais uma fonte para também possibilitar as correlações

com informações com outras etapas da Computação Forense (Forense
de Rede, Forense In Vivo e Post Mortem Forense).
Outro ponto que deve-se considerar é que a Post Mortem Forense

torna-se cada vez mais complicada diante de mídias de armazenamento
cada vez maiores, ou mesmo o uso de criptografia no armazenamento
de dados, o que na Forense de Memória pode ter a oportunidade de
recuperação de chaves e senhas.
10
Processo da Forense de Memória
Extração de Strings
Coleta, Criação do
DUMP de memória
FORENSE
DE
MEMÓRIA
Elaboração de Relatório Extração e análise de
(Laudo Técnico) informações do estado do S.O.
(Volatility)
Recuperação e
análise de artefatos
11
Dump de Memória
12
Dump de Memória
É possível dividir a partir de um ponto de vista macro em duas partes, o
momento da geração do Dump de memória e análise do mesmo.
Similar a duplicação de imagens (disco, pen-drive), o Dump de memória

é um procedimento de duplicação de todo conteúdo da memória RAM,
ou seja, uma copia bit à bit. Essa cópia pode ser feita a partir de
hardware e/ou software especializado.
Embora não seja de uso universal a possibilidade de realização de Dump

de memória via hardware, pode ser um recurso interessante para
ambientes críticos onde não pode desligar os servidores.
13
Dump de Memória
Entretanto demanda-se que uma placa de expansão com essa
capacidade seja instalada previamente, um bom exemplo é a placa PCI
Tribble card.
A forma mais comum é via a realização do Dump de memória é via

software, escrevendo em uma mídia externa (removível). Existem
algumas opções de software para realizar esse procedimento, no caso
de sistemas GNU Linux podemos citar: Memdump, dd, Lime, crash.
14
Desafios - Proteção do /dev/mem
Proteção de acesso ao /dev/mem comum nas distribuições Linux
pode ser um problema durante a Forense In Vivo. Dessa forma é
recomendável ao sysadmin preparar antecipadamente sua Linux
Box com alguma forma que possibilite a criação de um Dump de
memória contornando a proteção do /devm/mem.
# dd if=/dev/mem of=/tmp/mem.dump
dd: reading `/dev/mem': Operation not permitted
2056+0 records in
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.153596 s, 6.9 MB/s
15
Proteção do /dev/mem
# tail /var/log/messages | grep /dev/mem --color
Nov 6 16:45:04 ichigeki kernel: Program dd tried to access
/dev/mem between 101000->101200
16
Módulo Crash
Utilizar o modulo crash.ko que possibilita realizar o dump da
memória mesmo que exista a restrição de acesso ao /dev/mem.
Sendo uma alternativa para kernels antigos.
# tar xzvf crash_modulo.tgz

# cd crash/
# make
# insmod crash.ko
# lsmod | grep -i crash
# ls -l /dev/crash
# dd if=/dev/crash bs=4096 of=/dev/mem.dd
17
Módulo Crash
Recebendo informações do dump de memória usando módulo
crash.ko .
# dd if=/dev/crash bs=4096 | /cdrom/nc -q 5 -v <ip> <porta>
# nc -l -p porta | tee mem_crash.info | md5sum $1 >

mem_crash.info.md5
18
Módulo Lime
É um módulo de kernel carregável (LKM) que possibilita a criação do
Dump em sistema Linux ou sistemas baseados no kernel do Linux como
sistema operacional utilizados em dispositivos móveis como Android.
O Módulo Lime foi a primeira ferramenta que permitiu a captura

completa de dados memória RAM em dispositivos móveis baseados em
Android.
Segundo sua documentação original ele foi desenvolvido para minimizar

a interação entre os processos do usuário e espaço do kernel durante a
aquisição, o que lhe permite produzir Dumps de memória com o máximo
informação.
19
Conclusão
A Forense de Memória até pode ser decisiva em uma Perícia,
principalmente quando o alvo da análise for um incidente baseado em
um Malware.
Mas deve-se ter em mente que em incidentes de segurança mais
elaborados e/ou que tenham dados periciais serem analisados em
outros etapas de uma perícia (Post Mortem, Rede, In Vivo).
Diante disso a Forense de Memória poderá ser também uma fonte de
informação importante.
Prof. Sandro Melo - sandromelo.sec@gmai.comP 20

Dúvidas?
Por favor, levante a mão... 21

Volatility
23
Obrigado Para manter contato:
sandromelo.sec@gmail.com
https://www.linkedin.com/in/sandromelo
CREDITS: This presentation template was

created by Slidesgo, including icons by
Flaticon, and infographics & images by Freepik
Please keep this slide for attribution
24

AULA FORENSE MEMORIA DFIR v0

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

AULA FORENSE MEMORIA DFIR v0

Enviado por

Direitos autorais:

Formatos disponíveis

Forense de

Esse arquivo será uma replica de todos os análise dos dados

É interessante destacar que discos SSD tem um funcionamento similar a

Devido a natureza da Forense de Memória, também é considerada uma

A coleta que constituem de informações na Forense in Vivo consiste em

A Forense de memória é justamente a perícia que é realizado nos

Podendo-se possibilitar a identificação de evidências e provas que

Tornando-se mais uma fonte para também possibilitar as correlações

Outro ponto que deve-se considerar é que a Post Mortem Forense

Similar a duplicação de imagens (disco, pen-drive), o Dump de memória

Embora não seja de uso universal a possibilidade de realização de Dump

A forma mais comum é via a realização do Dump de memória é via

# tar xzvf crash_modulo.tgz

# dd if=/dev/crash bs=4096 | /cdrom/nc -q 5 -v <ip> <porta>

# nc -l -p porta | tee mem_crash.info | md5sum $1 >

O Módulo Lime foi a primeira ferramenta que permitiu a captura

Segundo sua documentação original ele foi desenvolvido para minimizar

Prof. Sandro Melo - sandromelo.sec@gmai.comP 20

Por favor, levante a mão... 21

CREDITS: This presentation template was

Please keep this slide for attribution

Você também pode gostar