Como cagarla en una página Web. By Maligno

Estándar

————————————Artículos anteriores ————————————————

http://windowstips.wordpress.com/2008/02/13/analisis-de-memoria-ram-recogida-de-evidencias/

http://windowstips.wordpress.com/2008/02/14/analisis-de-memoria-ram-metodos-de-recoleccion-alternativos/

http://windowstips.wordpress.com/2008/02/18/analisis-de-memoria-ram-verificando-la-integridad/

http://windowstips.wordpress.com/2008/02/19/analisis-de-memoria-ram-un-caso-extrano/

 ————————————————————————————————————-

Hola a tod@s!

Preparando el evento del día 3 de Abril del nuevo AseguraIT, la parte que me corresponde es la de análisis forense. Voy a hacer especial hincapié en la recogida y análisis de evidencias, en especial la memoria RAM, junto con las posiblidades que tiene. Si tenemos tiempo también vamos a meter algo sobre forense de imágenes, nuevas técnicas y herramientas interesantes. Como ya sabéis que el Maligno se mete-autoinvita en todos los fregados, me ha mandado un bonito post sobre cómo cagarla en una Web (Se ve que palako y el Maligno se lo pasan cojonudamente in London…), así que os la reproduzco palabra a palabra.

Nota: Ni de coña yo hablo como reproduce el Maligno…. Lo que pasa es que los cabrones estos no saben escuchar a los Trianeros profundos….

Como cagarla en una página Web

A mí, que me gustan las cosas raras como el erotismo entre especies, la compartición de alimentos en una única taza o el retro-placer, me vienen bien las páginas de contactos sexuales. Son sitios en los que se puede conocer a gente de todo tipo, tamaño, color y sabor… con gusto aun más divertidos que los mios.

Vale, una vez acabada la intro de este post, si habéis tenido la mala idea de seguir los links os doy unos minutos para beber algo fresquito y continuar leyendo tras haber reciclado la última comida que halláis digerido.

[wait for ’00:03:00’]

Bien, como iba diciendo, a mí, que me van los rollos raros, me cuesta conseguir este tipo de cosas (yo creo que es porque soy informático, no porque los vicios sean raros…). El caso es que me había creado un anuncio en el que se ofrecía “Maligno Macho Bravío Español”, como en la foto siguiente:

Sí, como notaréis en ella, he quitado ciertas partes cruciales de la foto para no poder ser reconocido. Así que la puse en el anuncio [No os digo la página que algunos de vosotros sois capaces de pedirme rollito porno…]. 

El asunto es que el otro día, el amigo Silverhack me dijo con su peculiar acento madrileño “illo, peroquehazez!! ¡Qué te van a ver toda la pilililla….ideputa!!”

“Comor?”

“Puez ezo dezgraziaaaaao, que te van a ver de color tienes los calandrios!”.

Así que me contó cómo es la demo que está preparando para el próximo evento de AseguraIT que va a ser el día 3 de Abril en Barcelona.

Las fotos JPEG, dentro de la información que se almacena, tienen la posibilidad de guardar un thumbnail. Esta imagen en miniatura se utiliza para poder procesar rápidamente ciertas aplicaciones gráficas. Cuando tú utilizas una herramienta de edición gráfica el mismo programa gestiona el thumbnail que se crea. Si después manipulas la foto con un programa que no modifica el thumbnail, resulta que has publicado una foto modificada con el thumbnail de la foto original. Con un sencillo programa como jhead alguien puede extraer el thumnail de la foto con un sencillo comando: jhead –st thumbnail.jpg foto.jpg.

Existen multitud de programas para extraer información EXIF y con las que podremos realizar numerosas tareas. Otra de estas herramientas, que curiosamente no está diseñada como aplicación forense, pero que tiene una especial relevancia en temas de fotografías digitales, son las herramientas de ExifUtils.  

ExifUtils

Para preparar un entorno con esto:

1.- Abre una foto con el photoshop o cualquier otra herramienta que genere el thumbnail.

2.- Después recórtala con el MSPaint, por ejemplo, y guarda la foto.

3.- Si sacas el thumbnail de la foto modificada aparecerá el thumbnail de la foto original sin modificar… ¿Sencillo, no?

¿Qué se vería en mi foto original?

Bueno, supongo que ninguno de vosotros tendrá fotos de estas por ahí como yo, ¿no?

Saludos malignos!

Análisis de memoria RAM. Un Caso extraño

Estándar

En el artículo anterior, estuvimos viendo la recogida de información de la memoria RAM haciendo uso de los objetos del sistema operativo. En este artículo veremos la recogida de información desde otra perspectiva.

En ocasiones, y tras un ataque exitoso, un sistema puede presentar algo de inestabilidad, posiblemente debido a la eliminación de ficheros esenciales de sistema, instalación de aplicaciones no compatibles con el sistema, parcheo de estructuras del Kernel, etc.. Cuando un sistema presenta este cuadro de síntomas, no es de extrañar que el sistema presente un BSOD, indicando que algo está fallando, y es entonces cuando nos tenemos que preguntar: apagamos el equipo? Reiniciamos el equipo?

Un ejemplo válido se puede dar con el rootkit FU. Ampliamente conocido, este rootkit trabaja en modo Kernel sobreescribiendo estructuras propias del mismo, lo que le permite por ejemplo ocultar procesos. En muchas ocasiones, y tras instalarlo en el sistema, el proceso que se desee ocultar se oculta con facilidad, pero a la hora de detectarlo, puede que el sistema operativo presente un BSOD indicando que hay “algo” que no va bien. El proceso que sigue Windows para pintar la pantalla azul es el siguiente:

  • Manda parar las interrupciones del sistema
  • Llama a la CPU a detener
  • Pinta la pantalla azul
  • Notifica el driver que ha fallado
  • Si el DUMP está configurado, lo prepara para su volcado

En el procedimiento interno intervienen procesos como smss.exe, winlogon y savedump, los cuales son los que realizan las llamadas para extraer el volcado y pasarlo a un fichero. En el transcurso en el que el sistema vuelca el contenido de la RAM hasta que lo deposita en su correspondiente fichero, el sistema debe de guardar los datos en el archivo de paginación pagefile.sys. Al reiniciar el sistema operativo después de un BSOD, el proceso savedump es el encargado de pasar el volcado de memoria a su correspondiente fichero. Para que el procedimiento no presente errores, el archivo de paginación debe ser por lo menos 1’5 veces más grande que la memoria RAM. Si el archivo de paginación no sigue esta premisa, el volcado de memoria no se completará, o se completará con errores (Volcado corrupto).

Habrá ocasiones en las que cuando se nos presente un caso con estas características y se presente un BSOD, no podamos reiniciar el equipo para obtener muestras, con lo que atendiendo al RFC  3227, en un principio tan solo podríamos realizar un análisis de ficheros y disco, obviando los aspectos de memoria RAM. Pero gracias al comportamiento que tiene Windows a la hora de realizar el volcado de memoria, podemos recuperar ese volcado gracias al archivo de paginación.

dump.png

Para realizar la conversión, utilizaremos de nuevo la herramienta dd para volcar el contenido del archivo de paginación a un nuevo archivo DMP.

ddpagefile.png

Finalmente, podemos comprobar su integridad con las herramientas dumpchk o dmpchkex, ambas explicadas en anteriores artículos.

dmpchkpagefile.png

En posteriores artículos nos centraremos en la clase de información que podremos extraer de un volcado de memoria.

Enlaces:

Opciones de rendimiento en Windows XP

Optimizar archivo de paginación

DPM Magic

Memoria Virtual

Windows Hang and Dump Analysis (Mark Russinovich)

Saludos!

Análisis de memoria RAM. Verificando la integridad

Estándar

Una vez que hemos realizado los volcados de memoria, llega la hora de verificar la integridad de las mismas para comprobar si son factibles a la hora de trabajar con ellas. En este artículo presentaré herramientas de verificación de volcados de memoria en formato DMP, formato escogido para trabajar con las herramientas de debugging de Microsoft.

Este tipo de herramientas se hacen indispensables para la persona que se dedique o tenga relación directa con el análisis de volcados de memoria, ya que por un despiste, podemos perder horas y horas de trabajo. Si estamos trabajando con tipos de datos no muy grandes (Menor a un Giga por ejemplo), el proceso de copiado de éstos se hace sencillo, pero cuando trabajamos con equipos en los que la memoria RAM sobrepasa los 4GB, el transporte y análisis de éstos se hace mucho más complicado (Dependiendo del tipo de volcado que tenemos configurado en la máquina), y necesitamos más que nunca verificar la integridad de éstos. Si un volcado de memoria se genera de forma corrupta, no podremos abrirlo con ningún debuggeador, y tendremos que utilizar otras técnicas más austeras, complejas y tediosas para su análisis.

El funcionamiento de este tipo de utilidades es sencillo en su forma. Abren el volcado de memoria en busca del fallo que lo ha causado, como el código de error, y muestran el tipo de arquitectura de máquina, tipo de sistema operativo, etc.. Si no hay ningún código de error que muestre lo contrario, el volcado de memoria será íntegro, y podremos transportarlo en un medio seguro para poder trabajar con él.

A continuación muestro las dos herramientas más usadas para este tipo de verificación.

DumpChk

De las dos que presento en este artículo, dumpchk es la más completa, ya que esta herramienta nos va a mostrar mucha información sin tener que depurar nada, simplemente ejecutando este comando.

Esta herramienta nos va a mostrar desde el sistema operativo en donde proviene el volcado, uptime de la máquina, versión de compilación del sistema operativo, offset de la base del kernel, tipo de arquitectura, etc… Como podréis observar, muchísima información base y sin tener que depurar nada.

dumpchk.png

Esta herramienta, junto con muchas otras (Como bindiff para comparar ejecutables), las tenemos en el mismo CD de Windows XP por ejemplo, o descargando las Support Tools de Windows XP SP2, desde esta dirección:

http://www.microsoft.com/downloads/details.aspx?familyid=49ae8576-9bb9-4126-9761-ba8011fabf38

Si el volcado de memoria no es válido para ser tratado con las herramientas de debugging de Microsoft, nos aparecerá una respuesta diferente a la anterior:

errordumpchk.png

DumpCheck Utility (Citrix)

DumpCheck Utility, es otra de las grandes herramientas desarrolladas por Dmitry Vostokov. Esta herramienta también nos ayudará a verificar la integridad de un volcado de memoria. Cuando la integridad del volcado es correcta para que podamos realizar el análisis con Windbg, la herramienta mostrará lo siguiente:

dmpcheck.png

Si la herramienta detecta que el volcado de memoria no cumple con los criterios de integridad, o lo que es lo mismo, que el volcado está corrupto, la herramienta mostrará lo siguiente:

dmpcheckerror.png

Esta herramienta, junto con una explicación más detallada, la podéis descargar de aquí.

DumpCheck Utility Explorer (Citrix)

Para los que necesiten tener esta herramienta mucho más a mano, y no le guste tanto la línea de comandos, Dmitry Vostokov ha diseñado la misma herramienta, pero integrándola por completo en nuestro Explorer de Windows, haciendo esta tarea mucho más fácil, y mucho más amena para muchos. El funcionamiento es el mismo, pero esta vez sólo tendremos que utilizar el botón derecho del ratón. El resultado es el mismo que el anterior.

checkdump.png

La herramienta en cuestión, junto con su explicación detallada, la podéis descargar de aquí 

En el próximo artículo veremos un caso extraño de recolección de evidencias, aplicando técnicas diferentes y herramientas mostradas en estos artículos, consiguiendo un resultado óptimo.

Enlaces

Utilizar DumpChk en ambientes Windows NT, 2000 y 2003

Utilizar DumpChk en ambientes Windows XP

Saludos!

La tengo muy pequeña, según dicen…

Estándar

Pues sí, queridos amig@s… Al parecer, y según mi SPAM, la tengo muyyyy pequeñita, porque no hacen más que mandarme estupendos mails para arreglar mi “problema”….

Y aquí estoy, indeciso entre comprar N Viagras porque los demás dicen que no se me levanta, o comprarme un aparatito de estos que te sube la bilirrubina, porque si 2000 mails dicen que la tienes pequeña, será porque la tendré pequeña no?

La historia es la siguiente:

Las personas se mueven por muchas cosas y por muchos motivos, entre ellos, los complejos. Complejo de no ser el centro de atención, de no llegar a ser lo que se espera de él, de bajito, de orejón (como yo!!), de cabezón, etc… Luego están los que tienen complejo de GILIPOLLAS, pero de eso hablaremos después…

Los otros saben que la gente tiene complejos, y que por un complejo nos podemos ver motivados a realizar un trabajo de distintas maneras, o dar (o no dar) una opinión. Y qué hacen? empiezan a trabajar sobre esa bola de complejos para hacernos creer algo, o para vendernos algo…

El SPAM es muy parecido en ese aspecto, y lo cierto es que da sus frutos. Es la espina de los correos, tanto en su forma de papel, (Los panfletos de Tecnokely!!), como en su forma digital, y tiene dificil solución. De 1.000.000 de correos que se le envían a 1.000.000 de personas, n+1 la tiene que tener pequeña, y de ese n+1 tiene que haber n que tenga complejos. Ese es el que me va a comprar. Es estadística pura y dura. Sencillo, claro y directo.

Eso es lo que yo siento al leer ciertos blogs, periódicos y artículos (WTF??), realizados por la gente “que sabe”….

Y de aquí pasamos directamente a ese complejo al que no queremos llegar, pero que hay gente que llega. Ese complejo difícil de quitar, pero fácil de adquirir. No es ni más ni menos que el complejo de GILIPOLLAS.

Por qué carajo cuando estoy buscando información sobre algo que no está relacionado con la informática (como el ponno) me salen artículos como éste?

Microsoft podría dar carpetazo a Vista

Joder!!!! Mierrrrrda!! Cojones!!!!

Y yo que llevo más de 2 años de betatester del Vista, escribiendo en foros y redactando artículos, y va este y me dice que alguien le ha dicho que su primo leyó en la ciudad de los Krispis un copy/paste de una reseña del Wikipedia (muy fiable eso sí…) en la que ponía que Windows Vista se acaba, y que en su lugar sale al mercado el nuevo Windows Seven!

Y ahora digo yo…. Me cago en todo lo que se menea! Y me lo dicen ahora??

Me ha entrado hasta fiebre. Me he ido a casa amargado. Pero mi Matias me ha abrazado, y me ha echado un cubatita fresquito…. Después de beberme N cubatas he tenido un momento de lucidez, y me he leído el artículo entero.

El caso es que el batacazo de Microsoft con Windows Vista está adquiriendo dimensiones planetarias: primero fueron los principales fabricantes de ordenadores, que hartos de toparse con sus call-centers saturados con llamadas de clientes desesperados por el sistema operativo, decidieron dar la opción a los usuarios de, o bien volver al fiable XP, o directamente comprar el ordenador con esta versión de Windows corriendo.

Me imagino yo las llamadas de los Call-Centers….

Cliente: Oiga?

CallCenter: Sí dígame?

Cliente: Mi Windows Vista es una puta mierda

CallCenter: Por?

Cliente: No puedo instalar mi aplicación. Me dice que no es compatible

CallCenter: Vaya…. Y qué aplicación es?

Cliente: Comandante Norton. Para mí es imprescindible

CallCenter:…..

Y no es que tenga nada en contra de los Call Centers… Pero alguno ya habrá tenido que lidiar con los de Telefónica, Ono y demases. Yo mismo he presenciado en directo como un “Técnico” de ONO intentó meter un cable de teléfono (RJ-11) en una toma de RJ-45….

Y esta señorita tan simpática también resume su caso con ONO y las IP con sobrepeso…. Sin desperdicio…

ONO y las IP Gordas

 ONO y las IP Gordas II

En finsss…. Sigamos con la lucidez….

Por si esto fuera poco, la prestigiosa revista PC World no ha dudado en calificar a Vista como la “decepción tecnológica del año”, un duro golpe para el jubilado Bill Gates.

Vaya, creo que es la misma PCWorld que tiene un apartado especialmente dedicado a Windows Vista, e incluso tienen una Web muy chula y con la que venden mucho….

Estando así el panorama, la dirección de Microsoft urgió a la división responsable del desaguisado, a lanzar un service pack (actualización de software) que calmara los ánimos por el momento y así intentar reconducir el buque a la deriva

Claro (CAPULLO de alhelí), como Windows no tiene SOPORTE, para qué carajo van a sacar un ServicePack? Para qué carajo van a sacar un hotfix para cuando algo falla? Tú lo compras y ya está. Pero claro, así es caro. Caro de cojones. Pero como tiene SOPORTE, estos chicos te sacan un ServicePack para aumentar sus posibilidades y parchear bugs y fallos de seguridad, y como Windows Vista tendrá como mínimo 10 años de soporte, el precio de un Vista lo divides entre 10, y no te da ni para comprarte una cervecita en mi barrio. TRIANA!!. Pero eso ya lo sabías no SUPERTECNICO?

Lejos de ello, y como a perro flaco todo son pulgas, el equipo de desarrollo de XP -viendo que su criatura todavía tenía mucho recorrido- está pertrechando otro service pack que a la vista de los resultados podría amargar la jubilación de Gates: XP sería considerablemente más rápido que Vista, o lo que es lo mismo, se confirmaría que el enemigo lo tienen en casa.

Total, como Windows Vista ya ha salido, al carajo con lo demás. Sin soporte. Listillo! Comenta a las empresas que todos los Windows que han comprado no llevarán en su vida útil ningún ServicePack nin ningún parche! Te deseo suerte SUPERTECNICO!

Lejos ya de mirar el contenido técnico del artículo, investigando a ver si el escritor me ha querido decir “algo”, y lo ha hecho escribiendo entre líneas, me he puesto a investigar la sabiduría técnica de este señor llamado Joselito Mendiola.

Este SUPERTECNICO de signo Virgo, y adorador de las nuevas tecnologías (Gadgets!), es Licenciado en Ciencias económicas y redactor de artículos relacionados con nuevas tecnologías.

Y ahora pregunto yo…. Señor SUPERTECNICO, acaso no se ha leído las nuevas bondades de Windows Vista?

Acaso no se ha leído la respuesta de Microsoft sobre la especulación de ese sistema operativo llamado Windows 7 y que casualmente se parece mucho a VISTA??

O acaso sus únicas fuentes de información son ésta o ésta?

Yo antes no creía en los signos zodiacales, pero he cambiado de opinión. Este señor nació en el año del Gallo, así que…. Podemos llamarle PapaGallos?

Por favor, dejen a los profesionales hacer su trabajo.

Por cierto… La economía está hecha una puta mierda…. Espero que tú no tengas nada que ver….

Gudbai!!

Análisis de memoria RAM. Métodos de recolección alternativos

Estándar

En ocasiones necesitaremos realizar un volcado de la memoria RAM cuando fallen o no se den las siguientes circunstancias:

  • No tenemos acceso físico a la máquina (Distinto país por ejemplo)
  • Fallan las configuraciones de Teclado para el forzado del DMP (Teclado no soportado por ejemplo)
  • Sistema sin Teclado
  • No tenemos acceso a la consola del servidor

Cuando se dan estas características o circunstancias, necesitaremos forzar a la máquina para que realice un volcado de memoria. Vamos a detallar las herramientas más comunes:

NotMyFault (SysInternals)

Con esta herramienta podemos provocar un BSOD, junto con el consecuente volcado de memoria, y podremos configurar la herramienta para que realice el volcado en base a unos errores específicos. La herramienta la podéis descargar de aquí, y un breve resumen de ella junto con el análisis de un BSOD lo tenéis aquí y aquí.

SystemDump (Citrix)

Herramienta creada por Dmitry Vostokov, y como la anterior herramienta, nos servirá para forzar a la máquina a que realice un volcado de la memoria RAM.

Esta herramienta se puede utilizar tanto en entorno gráfico (UI) como bajo línea de comandos, y el manejo de ella es bastante sencillo.

system.png

Bajo línea de comandos, teclearemos el comando SystemDump <cadena de texto a mostrar> <tiempo>.

LiveKD (SysInternals)

LiveKD es una utilidad que nos permitirá utilizar de forma local todos los comandos del debuggeador Windbg. Para utilizar esta herramienta, primero necesitaremos instalar en la máquina las Debugging Tools de Windows. Una vez realizada la instalación, añadiremos al directorio en donde hemos instalado el Windbg la herramienta LiveKD, la cual podéis descargar de aquí.

El funcionamiento de esta herramienta es bastante sencillo (para el caso que nos ocupa). Una vez ejecutada la herramienta, ésta ejecuta los comandos y ejecutables propios del debugeador de Windows, y una vez terminada, podremos ejecutar comandos del debugeador.

Lo bueno de esta herramienta, es que podremos realizar un volcado de memoria en vivo, sin tener que reiniciar el sistema operativo. Lo malo, es que tenemos que tener instaladas estas herramientas en el equipo.

livekd.png

Sin Acceso Físico

Cuando no tengamos acceso físico a la máquina en cuestión, bien por cuestiones geográficas, o bien por otras causas, podremos utilizar la herramienta de SysInternals Psexec, con la cual podremos ejecutar comandos de forma remota como si estuviesemos trabajando en local. Para el caso que nos ocupa, podemos utilizar la herramienta psexec junto con systemdump, ya que también podemos ejecutarla bajo línea de comandos.

psexec.png

Cuando no queremos el MD5

Desde hace bastante tiempo hay mucha controversia con el MD5, técnica utilizada para validar la integridad de un archivo. En su día se descrubió que era posible que dos archivos totalmente diferentes tuviesen el mismo hash, e incluso hay pruebas de concepto (POC), fruto de esas investigaciones. Los hay incluso que con una PlayStation 3 y un poco de imaginación, son capaces de predecir quién será el próximo presidente de EEUU….

md5c.png

Debido a eso, muchos investigadores forenses no simpatizan mucho con este método de validación de integridad, y desvían su atención hacia SHA1 por ejemplo.

Nicholas Harbour en su día ya pensó en esto. Esta persona, que en su día trabajó para el laboratorio forense del Departamento de Defensa rediseñó la herramienta dd, para que ésta soportase varios métodos de integridad, como por ejemplo SHA1, SHA256, etc.. Por defecto la herramienta valida en MD5. La herramienta en cuestiónn está publicada en SourceForge y se llama dcfldd

ddcifrado.png

En el próximo artículo veremos las opciones que tenemos para verificar la integridad de un volcado de memoria, y si es apto para ser utilizado en Windbg, la herramienta de debugging de Microsoft.

 Enlaces

Collisions for Hash Functions

Predicting the Winner of the 2008 US Presidential Elections using a Sony Playstation 3

Saludos!

Análisis de memoria RAM. Recogida de evidencias

Estándar

El análisis forense en sistemas informáticos, engloba muchos tipos de recogida de información para su posterior tratado. Entre ellos tenemos los siguientes:

  • Análisis de aplicaciones
  • Análisis de BBDD
  • Análisis de ficheros
  • Análisis de red
  • Análisis de memoria RAM
  • Análisis de SWAP, paginación
  • Análisis de discos físicos
  • Análisis Mobile
  • Análisis de impresoras
  • etc…

En accesos a disco nos podemos encontrar con muchísima información, como pueden ser documentos, información relevante al usuario en aspectos de navegación, passwords, logs de aplicaciones, logs de seguimiento, etc…

Pero en análisis forenses se echan de menos los datos que pudiesen contener la memoria RAM. En todo análisis forense se sigue un orden a la hora de recoger información, siempre atendiendo el orden de volatilidad. Un ejemplo de ello lo tenéis en el RFC 3227 de buenas prácticas a la hora de recoger información.

No voy a entrar en el debate sobre si es complicado o no la recogida de este tipo de información (RAM y derivados), y sobre si es admisible o no en un juicio. Eso se lo vamos a dejar a uno de los monstruos en esto. Juan Luis García (MVP Security) lo explica muy bien en su blog.

Lo que si veremos es qué podemos encontrarnos en RAM, y como podremos identificar, por ejemplo, aplicaciones maliciosas como rootkits inyectados directamente en memoria, restos de troyanos, direcciones IP, conexiones TCP/UDP registradas en máquina, passwords, etc…, junto con las herramientas que hoy día disponemos.

Puede que a lo mejor no se incluyan este tipo de pruebas en un juicio, pero de seguro nos ayudarán a entender mejor qué había en la máquina, y eso ya de por sí es un adelanto.

En sucesivos post comentaremos las formas de recogida de información de RAM y las posibilidades de cada una de ellas, tanto en su forma como en contenido.

Me voy a centrar básicamente en la recogida de información en base a adquisición de evidencias por software, que aunque menos seguro, la recogida es mucho más fácil y disponible para los usuarios.

Así que empecemos por el principio! 

Método I. Realizar un volcado de la RAM accediendo directamente al objeto de la memoria \Device\PhysicalMemory

Algunas aplicaciones pueden utilizar este objeto para acceder a la memoria física. En nuestro caso es el mismo. Necesitamos una herramienta que nos proporcione acceso a este objeto para poder realizar un volcado de la misma. Una herramienta indispensable para este tipo de volcados es utilizar la herramienta dd. Como esta serie de artículos tratan sobre Windows y el análisis de memoria del mismo, utilizaré una versión de esta herramienta, compilada para sistemas Windows y compilada para ser utilizadas en escenarios forense. Un buen conjunto de herramientas forense para la adquisición de evidencias lo tenemos en la página de George Garner, y su nombre es el siguiente. Forensics Acquisition Utilities.

dd Forensics

Aunque la imagen resultante podemos extraerla a otro disco duro, lo más correcto sería pasarla a través de la red, a otra ubicación que estuviese aislada de la zona 0.

Si queréis o necesitáis ver los objetos que tiene un sistema operativo Windows, podéis utilizar la herramienta WinObj de Sysinternals.

La herramienta dd la podemos combinar con NetCat o Crypcat (en su formato cifrado) para pasar la información a través de la red. Las opciones más comunes que se utilizan con la herramienta dd y en su versión para forense son las siguientes:

  • md5sum.- Calcula la firma digital para dar fe de la integridad de los datos
  • Log.- Por si queremos guardar un Log de la extracción
  • verifymd5.- Verificar la integridad de la imagen con el md5 obtenido

Para realizar este tipo de capturas, ya existen aplicaciones que automáticamente recogen este tipo de información. Un ejemplo de ésta herramienta es Helix. Herramienta basada en Knoppix y customizada para su uso en análisis forense, esta herramienta viene con una suite bastante amplia de herramientas para el tratamiento y análisis de información, lo que facilita y mucho las labores de recogida de información. El análisis y tratado de éstos, es otra historia aparte…

Helix

 

A partir de la versión Windows 2003 SP1, el acceso en modo usuario a este objeto del sistema, ya no es permitido, por lo que este tipo de herramientas ya no nos servirán para realizar volcados de memoria. Si necesitamos realizar un volcado de memoria en sistemas Windows después de la versión 2003 SP1 en adelante (Incluyento a Windows Vista y Windows Server 2008), tendremos que utilizar herramientas comerciales como las KntTools, de GMG Systems, o esperar a la próxima release del LiveCD Helix.  

En esta primera parte hemos visto los pasos necesarios para realizar un volcado de la RAM a través de los objetos de Windows. En artículos posteriores veremos otras situaciones que se nos pueden dar y sus posibilidades.

Enlaces:

Device/PhysicalMemory Object

Forensic RAM Dumping

Saludos!

Monstruos, y no de feos

Estándar

No hace mucho tiempo cambié la lista de blogs que sigo diariamente como un mantra. En esta lista tan selecta, han entrado dos monstruos (y no de feos) especialistas en varios campos.

Uno de ellos es Joshua Sáenz, consultor de sistemas, y especialista en muchos campos, entre ellos los siguientes:

  • MOM y SCOM
  • SMS Y SCCM
  • Active Directory
  • Exchange

No hace mucho tiempo se ha ganado a pulso un MVP de Exchange, y si las cuentas no me fallan, creo que es el único de Spain que lo tiene.

Podéis seguir sus post en su Web. http://saenzguijarro.com

Otro de los monstruos que ha ingresado en la lista selecta, es Juan Luis García Rambla, experto en los siguientes campos:

  • SMS y SCCM
  • Active Directory
  • Seguridad en Sistemas
  • Análisis Forense (En especial fotografía, malware y dispositivos móviles)

También posee un MVP en Seguridad. Actualmente este MVP lo tienen dos personas en Spain, uno es el Maligno, y el otro es este personajillo.

Su blog está especialmente dedicado al análisis forense, visto desde una perspectiva legal. Interesantísimo y de obligada lectura.

Podéis seguirlo desde aquí. http://legalidadinformatica.blogspot.com

Y no os olviéis actualizarse y superfeedalizarse!!

Saludos!!