Volcados de memoria. De W2k3 SP1 en adelante

Estándar

En anteriores artículos, hemos dado un repaso a las herramientas de software que hay para realizar volcados de memoria en sistemas basados en Windows.

Este tipo de técnicas, hasta ahora sólo valían para equipos anteriores a Windows 2003 SP1, ya que en el Service Pack 1 de Windows 2003 se introdujo una medida por la cual el objeto \Device\PhysicalMemory no es accesible en modo usuario.

Este cambió se debió, principalmente, porque en anteriores versiones de Windows, este objeto estaba protegido únicamente con una ACL. Un exploit podría utilizar capacidades como WMI o incluso la herramienta CACLS para cambiar las propiedades de ese objeto en segundo plano o bajo línea de comandos.

Matthieu Suiche desarrolló una herramienta hace meses, llamada Win32DD, la cual accede a la memoria en modo kernel, saltándose así la protección y provocar con éxito un volcado de memoria. Lo mejor de esta aplicación es la no limitación de sistema operativo, lo que abre un gran abanico de posibilidades en el ámbito forense. Con esta herramienta podremos obtener volcados de memoria a partir de sistemas Windows 2003 SP1en adelante.

La herramienta es gratuita, el código fuente se publica con ella, y podéis hacer uso de ella en el siguiente link.

http://www.msuiche.net/countcount/click.php?id=2

Referencias: http://technet.microsoft.com/en-us/library/cc787565.aspx

Saludos!