Reading
Add Comment
"DUMPEAR LA MEMORIA RAM"
muchas veces vendemos nuestros computadores como si fueren regalitos cualesquiera y lo peor es que algunas veces las memorias volatiles y tambien las no volatiles contienen mucha mas informacion de la que nosotros pensabamos en primera instancia.
en una recogida de evidencias primero es viable tener un diario de evidencias o ir escribiendo cuales materiales se les esta realizando un analisis forense, segun algunos estandares para especialistas forenses primero se debe recoger las evidencias con menor volatilidad , es decir, primero deberemos encargarnos de la evidencia que es no volatil como la memoria ram y otro tipo de buffers.
existen muchas herramientas para nuestra practica, descargaremos FTK imager primeramente para ir entrando en terreno:
vamos a descargarnos la version de windows yo en mi caso usare este pero pueden usar la version que gusten, da igual:
vamos a utilizar la version de linea de comandos y nos iremos con la consola a donde dicha carpeta:
necesitamos copiar una imagen del contenido de la memoria BIT A BIT, de lo contrario nada servira.
para estos casos conviene usar hardware especializado como el de la imagen siguiente:
un duplicador de discos duros, pero sin alterar la evidencia de datos:
dicho hardware es mucho mas rapido para volcar contenido entre unidades.
como investigadores tendremos que llevar estas herramientas de hardware en nuestro maletin forense a cada lugar donde tengamos que recoger evidencias.
repasando la arquitectura de windows en cuestion de seguridad, podemos ver que el proceso siempre activo es el lsass.exe que controla las cuestiones del logeo, entre otros detalles interesantes.
aqui podemos ver al proceso en ejecucion:
es el que controla la configuracion de politicas de windows logon y su posterior subsistema para inicializar los hashes NTLM y LM de windows.
ahora vamos a sacar un dumpeo de este archivo:
despues de haber dumpeado el archivo, nos indicara la ruta donde se ha guardado, lo que casi comunmente se guarda por defecto en los archivos temporales de windows.
tenemos que tener cuidado con este proceso ya que la historia lo ha demostrado que algunos peligrosos rootkits lo utilizan para ocultarse como un proceso lsass.exe, si usted sospecha que esta infectado lo casual y mas sencillo es irse ala ubicacion de dicho archivo, el archivo siempre debe de abrirse en system32 y si no esta en tal ruta, entonces no cabe duda que algun virus o malware se infiltro en vuestro ordenador como si fuese del sistema.
aqui vemos los archivos de dumpeo en el explorador de windows:
dejare el editor hexadecimal para que usted lector investigue por su propia cuenta que es lo que hay dentro de tales encabezados.
ahora vamos aver que tal nos va con la herramienta FTKImager que realiza similar un volcado de la memoria ram, hay que destacar que algunas personas piensan que la memoria RAM no almacena informacion delicada, la realidad es todo lo contrario, la RAM puede almacenar passwords de webistes, passwords de redes sociales, conexiones a puertos especificos, entre otros detalles interesantes.
una vez tenemos el archivo .mem , seleccionamos la opcion en la misma herramienta en la esquina superior que dice en agregar evidencia Item y se nos volcara todo el dumpeado de la memoria RAM, ahora solo lo que hace falta es indagar en el volcado para encontrar cosas interesantes.
aqui podemos ver que en mi memoria RAM pudimos encontrar mi direccion de correo electronico.
podemos encontrar passwords y demas, solo hace falta indagar en todo el dumpeo.
ahora nos vamos a pasar al framework volatily en linux, nos tenemos que llevar por algun medio la imagen bit-a-bit que en mi caso es de 1.96 GB:
podemos echar un vistazo a los procesos que estaban corriendo a los momentos de la captura de la imagen de la memoria RAM, podemos investigar un poco en dichos procesos para verificar si encontramos algo raro dentro de cada uno de ellos o si hay algun proceso replicado o camuflado que se esta haciendo pasar por otro proceso original para ocultar sus actividades maliciosas, abajo en la descripcion de interes dejare un webiste bastante bueno para estos casos, dicho website alberga miles de descripciones de procesos de todas las versiones de windows para ver si x proceso funciona para algo en especifico.
ahora tambien podemos ver los registros ocultos del sistema, que en este caso nos despliega una amplia posibilidad.
a partir de aqui podemos dumpear el hash del sistema windows y tratar de descifrarlo con opcrack o alguna otra utilidad.
el framework volatility nos ofrece una amplia gama de posibilidades, despliegue de llamadas al sistema, despliegue de librerias de windows .dll, procesos de sistema, entre otras cosas.
URL DE INTERES Y TOOLS:
http://www.processlibrary.com
https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service
Win32dd.exeHex Editor
FtkImager
![Pinterest](http://pinterest.com/pin/create/button/?url=https://thepentesterdiaries.blogspot.com/2017/01/dumpear-la-memoria-ram-muchas-veces.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdANCqC6SKb1vwDUXjcMl_eAMgdf8bTV2uyJxHDUqla0SyPZF515b970CUVX-q1-z5a9jDq9eL7GNOHyCYtXN2R1dtgVKh6GiT4o8DhmytdsgZBI2dlqaUQu8sJkxcALkCIwAk5IM6roiO/s72-c/MemoriaRamtitul.png&description= "DUMPEAR LA MEMORIA RAM" muchas veces vendemos nuestros computadores como si fueren regalitos cualesquiera y lo peor ...){kind=link}
0 comments:
Publicar un comentario