La Comunidad DragonJAR » Memoria Ram

Recogiendo Evidencias para Análisis Forense en Windows

DragoN — Tue, 24 Nov 2009 23:16:25 +0000

Despues de escribir sobre la Instalación, Configuración y Uso del Microsoft Cofees nuestro amigo Seifreed nos regala otro articulo relacionado con el análisis forense en entornos windows, en esta ocasión recogeremos evidencias para un posterior análisis de estas.

Indice

Introducción
Obteniendo datos volátiles
Obteniendo datos no volátiles
Clonando el disco
Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

Datos volátiles.
Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

Análisis forense de memoria RAM en entornos Windows

DragoN — Thu, 27 Nov 2008 05:14:21 +0000

Juan Garrido de Informatica64.com realizará el próximo Miercoles 10 de Diciembre un Webcast sobre Análisis forense de la memoria RAM en sistemas Windows.

El evento tendrá una duración de 60 minutos y para asistir solo es necesario registrarse haciendo click en este enlace y luego en el botón registra, luego inicias sección con tu cuenta passport, si no tienes una te recomiendo que la crees para acceder a los recursos gratuitos de microsoft y listo.

Sergio Hernando ha escrito un articulo practico sobre Análisis forense de memoria en sistemas Windows, pueden leerlo mientras esperamos el 10 para el Webcast de Juan Garrido

Mas Información:
Webcast TechNet: Análisis forense memoria RAM en entornos Windows

También puede interesarte...

Burlada tecnología de encriptacion de Discos

DragoN — Thu, 21 Feb 2008 19:44:14 +0000

Se frustra nuevamente la aplicación de la tecnología de aseguramiento de Discos, como nos plantean Heise Security al vulnerar lo que expertos consideraban un avance significativo en el uso de su tecnología de encriptacion de hardware y Keys RFID de igual manera un equipo de trabajo de la Universidad de Princeton nos muestran su trabajo de investigación como se puede recuperar información persistente en las Memorias DRAM, limitando la capacidad de los Sistemas Operativos con utilidades de protección como BitLocker, FileVault, dm-crypt y TrueCrypt, con tan solo el enfriamiento de las Memorias y reutilización de las mismas.

Juzguen ustedes mismos, personalmente me parece asombroso:

Encerrado, pero no encriptado.
Arranque en frió a ataques a claves cifrados
Aquí les dejo paper completo