Análisis de memoria RAM. Recogida de evidencias Publicada por 4v4t4r en Informática forense .
El análisis forense en sistemas informáticos, engloba muchos tipos de recogida de información para su posterior tratado. Entre ellos tenemos los siguientes:
- Análisis de aplicaciones
- Análisis de BBDD
- Análisis de ficheros
- Análisis de red
- Análisis de memoria RAM
- Análisis de SWAP, paginación
- Análisis de discos fÃsicos
- Análisis Mobile
- Análisis de impresoras
- etc…
En accesos a disco nos podemos encontrar con muchÃsima información, como pueden ser documentos, información relevante al usuario en aspectos de navegación, passwords, logs de aplicaciones, logs de seguimiento, etc…
Pero en análisis forenses se echan de menos los datos que pudiesen contener la memoria RAM. En todo análisis forense se sigue un orden a la hora de recoger información, siempre atendiendo el orden de volatilidad. Un ejemplo de ello lo tenéis en el RFC 3227 de buenas prácticas a la hora de recoger información.
No voy a entrar en el debate sobre si es complicado o no la recogida de este tipo de información (RAM y derivados), y sobre si es admisible o no en un juicio. Eso se lo vamos a dejar a uno de los monstruos en esto. Juan Luis GarcÃa (MVP Security) lo explica muy bien en su blog.
Lo que si veremos es qué podemos encontrarnos en RAM, y como podremos identificar, por ejemplo, aplicaciones maliciosas como rootkits inyectados directamente en memoria, restos de troyanos, direcciones IP, conexiones TCP/UDP registradas en máquina, passwords, etc…, junto con las herramientas que hoy dÃa disponemos.
Puede que a lo mejor no se incluyan este tipo de pruebas en un juicio, pero de seguro nos ayudarán a entender mejor qué habÃa en la máquina, y eso ya de por sà es un adelanto.
En sucesivos post comentaremos las formas de recogida de información de RAM y las posibilidades de cada una de ellas, tanto en su forma como en contenido.
Me voy a centrar básicamente en la recogida de información en base a adquisición de evidencias por software, que aunque menos seguro, la recogida es mucho más fácil y disponible para los usuarios.
Asà que empecemos por el principio!
Método I. Realizar un volcado de la RAM accediendo directamente al objeto de la memoria \Device\PhysicalMemory
Algunas aplicaciones pueden utilizar este objeto para acceder a la memoria fÃsica. En nuestro caso es el mismo. Necesitamos una herramienta que nos proporcione acceso a este objeto para poder realizar un volcado de la misma. Una herramienta indispensable para este tipo de volcados es utilizar la herramienta dd. Como esta serie de artÃculos tratan sobre Windows y el análisis de memoria del mismo, utilizaré una versión de esta herramienta, compilada para sistemas Windows y compilada para ser utilizadas en escenarios forense. Un buen conjunto de herramientas forense para la adquisición de evidencias lo tenemos en la página de George Garner, y su nombre es el siguiente. Forensics Acquisition Utilities.
Aunque la imagen resultante podemos extraerla a otro disco duro, lo más correcto serÃa pasarla a través de la red, a otra ubicación que estuviese aislada de la zona 0.
Continúa leyendo este excelente recurso desde la fuente original (El Diario de Juanito)
se ve interesante