Por fin eliminé mis datos!

Juan Garrido Análisis forense memoria RAMConsultor sistemas I64jgarrido@informatica64.com

Agenda

► Introducción► Otros métodos de adquisición► Análisis memoria en plataformas Windows

Verificar la integridad Recuperación de datos Detección procesos ocultos Conexiones de red Representación gráfica

► Herramientas► Preguntas

Introducción

Introducción

Objetivo

Aplicaciones y sistema

operativo

Sistema de ficheros, volumen

RAM, pagefile.sys,hi

berfil.sysAnálisis de Red

Introducción

► Qué puede contener un volcado de memoria Procesos en ejecución Procesos en fase de terminación Conexiones activas

TCPUDPPuertos

Ficheros mapeadosDriversEjecutablesFicheros

Objetos Caché Direcciones WebPasswordsComandos tipeados por consola

Elementos ocultos

Cómo…?

SSDTServicio de tabla de descriptoresUtilizado por WindowsEncamina llamadas del sistema hacia las APIEncamina llamadas realizadas por Ring(3) al sistema

Espacio de direcciones del sistema Espacio de direcciones del usuario Proceso !=Programa

Programa.- Secuencia instruccionesProceso.- Contenedor. Guarda recursos que podrá utilizar el programa

Cómo…?

► Buscando todo tipo de información almacenada Estructuras EPROCESS

Bloque de procesosContiene atributos propiosPunteros a otras estructurasPara cada kernel puede ser diferenteDt –a -b –v _EPROCESS (WinDBG)

Hilos en ejecuciónUn proceso puede tener uno o más hilos en ejecución!Thread (WinDBG)

Introducción

►La información que podemos recopilar depende de muchos factores

Sistema operativoTime Live de la máquinaTamaño de la memoria

Inconvenientes

►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles.

ReiniciosApagadosCorrupciones

►Verificar la integridad de los datos?►Se tiene que preparar el sistema para que lo soporte

Otros métodos de adquisición

Adquisición por software

►NotMyFault (Sysinternals)►SystemDump (Citrix)►LiveKD (Sysinternals)►Teclado

Análisis memoria RAM

Verificar la integridad

►DumpChk (Support Tools)Herramienta para verificar la integridad de un

volcado de memoriaMuy completa (Uptime, Arquitectura, Equipo, fallo,

etc…)Línea de comandos

►DumpCheck (Citrix)Creada por Dmitry VostokovNos muestra sólo si cumple con la integridad o noEntorno gráfico

Recuperación de datos

►Strings de SysinternalsHerramienta para extraer cadenas (ASCII &

UNICODE) de un archivoPodemos identificar objetos almacenados en

memoria, datos persistentes, conexiones, Passwords, etc…

►FindStr (Microsoft nativa)Herramienta utilizada para buscar una cadena de

texto en el interior de uno o varios archivosCon la combinación de ambas herramientas podemos

extraer gran cantidad de información

Detección de procesos ocultos

► Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia

► Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 La más completa en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia)

► Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3

Detección de procesos ocultos

► Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003

► Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (

http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser

Conexiones de Red

►VolatoolsDesarrollada por Komoku IncIt’s ALIVE!!POC capaz de buscar sockets, puertos, direcciones

IP, etc..Soporte XPSP3!!

Representación gráfica

► Ptfinder En todas sus versiones, esta herramienta es capaz de representar

gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses

Herramientas

Herramientas

►Pstools (Sysinternals)►PtFinder►Windbg►Memparser►Volatools►Wmft►Hidden.dll (Plugin para Windbg)

Todavía hay más…?

►Sí!!Scripts nuevosNuevas herramientas ENCASEPtfinder soporta Windows VISTA!!Hidden.dll (Mariusz Burdach)

Analizador de procesos ocultos para Windbg

http://Windowstips.wordpress.com

http://legalidadinformatica.blogspot.com

http://www.microsoft.es/HOLsistemas

http://www.informatica64.com

III Día Internacional de laSeguridad Informática 1 de Dic de 2k8

► 08:00 - 09:00 Registro► 09:00 - 09:15 Inauguración► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos)► 10:30 - 11:45 La Investigación en Seguridad► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España)► 11:45 - 12:15 Investigación del Cibercrimen► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil► 12:15 - 13:00 DESCANSO Y CÓCTEL► 13:00 - 13:30 Tecnologías Antiforense► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo► URL: http://www.capsdesi.upm.es/

TechNews de Informática 64

►Suscripción gratuita en technews@informatica64.com

Elhacker.net

Creative CommonsAttribution-NoDerivs 2.0

Attribution. You must give the original author credit.

For any reuse or distribution, you must make clear to others the license terms of this work.

Any of these conditions can be waived if you get permission from the author.

Your fair use and other rights are in no way affected by the above.

This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

You are free:

• to copy, distribute, display, and perform this work

• to make commercial use of this work

Under the following conditions:

No Derivative Works. You may not alter, transform, or build upon this work.

Gracias!;-)