Monografias.com > Computación > Hardware
Descargar Imprimir Comentar Ver trabajos relacionados

Análisis forense memoria RAM




Enviado por Pablo Turmero

    Monografias.com
    Agenda Introducción Otros métodos de
    adquisición Análisis memoria en plataformas Windows
    Verificar la integridad Recuperación de datos
    Detección procesos ocultos Conexiones de red
    Representación gráfica Herramientas Preguntas

    Monografias.com
    Introducción Análisis de Red

    Monografias.com
    ¿Qué es la memoria RAM?

    Monografias.com
    Volátil

    Monografias.com
    Introducción Qué puede contener un volcado de
    memoria Procesos en ejecución Iexplore LSASS Procesos en
    fase de terminación Conexiones activas TCP UDP
    Puertos

    Monografias.com
    ¿Qué hay en la RAM?

    Monografias.com
    Ficheros mapeados Drivers Ejecutables Ficheros Objetos
    Caché Direcciones Web Passwords Comandos tipeados por
    consola Elementos ocultos Rootkits (Userland &
    KernelLand)

    Monografias.com
    ¿Cómo se estructura la memoria? KernelLand (Ring0)
    Tendrá permiso para acceder a todo el espacio de memoria
    Podrá comunicarse con el Hardware UserLand (Ring3) Apis
    podrán comunicarse con el Kernel Nivel con menor
    privilegio Acceso a Memoria Virtual

    Monografias.com
    Qué se busca y por qué… EPROCESS Estructura
    que contiene datos relativos a un proceso Representación
    que hace Windows para cada proceso Fecha Creación, cuotas
    de uso, Token, PID THREADS Cada proceso puede crear 1 o
    más hilos en ejecución Como mínimo se crea
    uno por cada proceso en ejecución (Puntero a proceso)
    Tiempo de Kernel PEB Información sobre la Imagen
    Estructuras que residen en el espacio de memoria del usuario
    Virtual Memory & Physical Memory Permite al proceso usar
    más memoria que la que hay realmente Cada proceso obtiene
    4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de
    traducir esas direcciones virtuales a direcciones físicas
    de memoria

    Monografias.com
    Captura de memoria RAM Siguiendo el orden de volatilidad, los
    datos contenidos en la RAM son extremadamente volátiles.
    Reinicios Apagados Corrupciones Verificar la integridad de los
    datos Se tiene que preparar el sistema para que lo soporte

    Monografias.com
    No sólo se captura lo activo… La información
    que podemos recopilar depende de muchos factores Sistema
    operativo Time Live de la máquina Tamaño de la
    memoria

    Monografias.com
    Memoria RAM Paginada Paginación Pagefile.sys Hyberfil.sys
    Configuración de limpieza
    http://support.microsoft.com/kb/314834
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession
    ManagerMemory Management Reg_DWORD type ClearPagefileAtShutdown
    Value = 1 (Activado)

    Monografias.com
    Métodos de Adquisición Software: NotMyFault
    (Sysinternals) SystemDump (Citrix) LiveKD (Sysinternals) Teclado
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesi8042prtParameters
    DWORD (CrashOnCtrlScroll) Hardware Copiadoras

    Monografias.com
    Verificar la integridad DumpChk (Support Tools) Herramienta para
    verificar la integridad de un volcado de memoria Muy completa
    (Uptime, Arquitectura, Equipo, fallo, etc…) Línea
    de comandos DumpCheck (Citrix) Creada por Dmitry Vostokov Nos
    muestra sólo si cumple con la integridad o no Entorno
    gráfico

    Monografias.com
    [DEMO] Integridad en los volcados Configuración de
    Registro

    Monografias.com
    Análisis memoria RAM

    Monografias.com
    Análisis desestructurado de memoria RAM Strings de
    Sysinternals Herramienta para extraer cadenas (ASCII &
    UNICODE) de un archivo Podemos identificar objetos almacenados en
    memoria, datos persistentes, conexiones, Passwords, etc…
    FindStr (Microsoft nativa) Herramienta utilizada para buscar una
    cadena de texto en el interior de uno o varios archivos Con la
    combinación de ambas herramientas podemos extraer gran
    cantidad de información

    Monografias.com
    [DEMO] Extraer información archivo Pagefile.sys
    Análisis de comandos en CMD.EXE Análisis de
    navegación (favoritos, historial) Análisis de
    conversación messenger

    Monografias.com
    Análisis estructurado dememoria RAM Windbg Poderosa
    herramienta de depuración Necesitamos los símbolos
    para poder trabajar con procesos Pensada para “todos los
    públicos” Mucha granularidad a nivel de comandos
    Escalable (Plugins) Se necesita mucha experiencia Memparser Nace
    con un reto forense de RAM (DFRWS 2005) Válida sólo
    para Windows 2000 Una de las más completas en cuanto a
    funcionalidad Evoluciona a las KntTools (Pago por licencia)
    Ptfinder Desarrollada en Perl Extrae información sobre
    procesos, threads y procesos ocultos (DKOM) Interpretación
    gráfica de la memoria Válida para W2K, XP,XPSP2,
    W2K3

    Monografias.com
    Detección de procesos ocultos Wmft Creada por Mariusz
    Burdach (http://forensic.seccure.net) Demo para BlackHat 2006
    Válida para Windows 2003 Memory Analisys Tools Creada por
    Harlan Carvey (Windows Incident Response) Disponibles en
    Sourceforge
    (http://sourceforge.net/project/showfiles.php?group_id=164158)
    Válida para Windows 2000 Similar a Memparser

    Monografias.com
    Conexiones de Red Volatools Desarrollada por Komoku Inc Proyecto
    vivo! POC capaz de buscar sockets, puertos, direcciones IP, etc..
    Válida hasta XP SP3

    Monografias.com
    [DEMO] Análisis Estructurado Extracción de procesos
    Detección de procesos ocultos Extracción de
    imágenes de ficheros Conexiones de red

    Monografias.com
    Representación gráfica Ptfinder En todas sus
    versiones, esta herramienta es capaz de representar
    gráficamente el estado de la memoria. Podemos analizar
    qué procesos son los padres y cuáles los hijos
    Ideal para proyectos forenses

    Monografias.com
    [DEMO] Listar procesos en Windows Vista SP1 Representación
    gráfica

    Monografias.com
    Conclusiones Cifrado de RAM Cumplimiento de LOPD? Ficheros
    temporales ¿Es sólo la RAM? Ficheros temporales de:
    Documentos ofimáticos Hyberfil.sys Impresión de
    documentos

    Monografias.com
    Herramientas Pstools (Sysinternals)
    http://download.sysinternals.com/Files/PsTools.zip PtFinder
    http://computer.forensikblog.de/files/ptfinder/ptfinder-collection-current.zip
    Windbg
    http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
    Memparser http://sourceforge.net/projects/memparser Volatools
    https://www.volatilesystems.com/ Wmft
    http://forensic.seccure.net/ Hidden.dll (Plugin para Windbg)
    http://forensic.seccure.net/tools/hidden.zip

    Monografias.com
    Referencias Introducción a la informática forense
    en entornos Windows Autor: Silverhack
    http://www.elhacker.net/InfoForenseWindows.htm
    Introducción a la informática forense en entornos
    Windows 2ª parte Autor: Silverhack
    http://www.elhacker.net/InfoForenseWindows2.htm
    Introducción a la informática forense en entornos
    Windows 3ª parte Autor: Silverhack
    http://www.elhacker.net/InfoForense3.html Formas de Analizar un
    Virus Autor: Juan Garrido
    Formas de analizar un virus. Un paseo por Rapidshare
    Comportamiento Virus Plataformas Windows Autor: Silverhack
    http://www.elhacker.net/comportamiento-virus.htm

    Monografias.com
    Retos Forenses http://www.seguridad.unam.mx/eventos/reto/
    http://www.dfrws.org/2005/challenge/index.html
    http://retohacking8.elladodelmal.com/

    Monografias.com
    WebCast Microsoft Análisis Forense Sistemas Windows
    Ponente: Juan Luis Rambla (MVP Security Informática 64)
    Url WebCast
    http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326593&EventCategory=4&culture=es-ES&CountryCode=ES
    Análisis Forense entorno Malware Ponente: Juan Luis Rambla
    (MVP Security Informática 64) Url WebCast
    http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326597&EventCategory=5&culture=es-VE&CountryCode=VE

    Monografias.com
    TechNews de Informática 64 Suscripción gratuita en
    http://www.informatica64.com/boletines.html

    Monografias.com
    http://Windowstips.wordpress.com

    Monografias.com
    http://legalidadinformatica.blogspot.com

    Monografias.com
    Elhacker.net

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter