El documento describe varias herramientas para el análisis de volcados de memoria en sistemas Windows. Explica que un volcado de memoria puede contener procesos, conexiones de red, archivos mapeados y objetos en caché. También cubre factores que afectan la información recopilada como el sistema operativo y tamaño de memoria. Finalmente, analiza herramientas como Ptfinder, Windbg, Memparser y Volatools que pueden extraer y visualizar datos de un volcado de memoria.
Descrição original:
Analisis en Memoria Ram, ponencia de Juan Garrido, consultor de Sistemas de Microsoft
El documento describe varias herramientas para el análisis de volcados de memoria en sistemas Windows. Explica que un volcado de memoria puede contener procesos, conexiones de red, archivos mapeados y objetos en caché. También cubre factores que afectan la información recopilada como el sistema operativo y tamaño de memoria. Finalmente, analiza herramientas como Ptfinder, Windbg, Memparser y Volatools que pueden extraer y visualizar datos de un volcado de memoria.
Direitos autorais:
Attribution Non-Commercial (BY-NC)
Formatos disponíveis
Baixe no formato PPT, PDF, TXT ou leia online no Scribd
El documento describe varias herramientas para el análisis de volcados de memoria en sistemas Windows. Explica que un volcado de memoria puede contener procesos, conexiones de red, archivos mapeados y objetos en caché. También cubre factores que afectan la información recopilada como el sistema operativo y tamaño de memoria. Finalmente, analiza herramientas como Ptfinder, Windbg, Memparser y Volatools que pueden extraer y visualizar datos de un volcado de memoria.
Direitos autorais:
Attribution Non-Commercial (BY-NC)
Formatos disponíveis
Baixe no formato PPT, PDF, TXT ou leia online no Scribd
► Análisis memoria en plataformas Windows Verificar la integridad Recuperación de datos Detección procesos ocultos Conexiones de red Representación gráfica ► Herramientas ► Preguntas Análisis de Red ► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas TCP
UDP
Puertos
Ficheros mapeados Drivers
Ejecutables
Ficheros
Objetos Caché Direcciones Web Passwords
Comandos tipeados por consola
Elementos ocultos ► La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria ► Siguiendoel orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios
Apagados
Corrupciones
► Verificar la integridad de los datos?
► Se tiene que preparar el sistema para que lo soporte ► NotMyFault (Sysinternals) ► SystemDump (Citrix) ► LiveKD (Sysinternals) ► Teclado ► DumpChk (Support Tools) Herramientapara verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos ► DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico ► Strings de Sysinternals Herramientapara extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… ► FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información ► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia ► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) ► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3 ► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003 ► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge ( http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser ► Volatools Desarrollada por Komoku Inc Actualmente el proyecto está descontinuado POC capaz de buscar sockets, puertos, direcciones IP, etc.. Válida sólo para XP SP2 ► Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses ► Pstools (Sysinternals) ► PtFinder ► Windbg ► Memparser ► Volatools ► Wmft ► Hidden.dll (Plugin para Windbg) ► Suscripción gratuita en technews@informatica64.com