Ceregumil concentrado II + GMAIL 1ª Parte

Estándar

Hola a tod@s!

Me tomo la libertad de plagiar el título del Post de mi compi Pedro Sánchez para hablaros de otra herramienta similar a la que os ofrece Pedro en su Blog.

Este caso es ligeramente diferente, pero sigue un mismo fin. El caso es que se presupone que puede haber información de cuentas de GMAIL en memoria RAM o almacenadas por el proceso. Como bien comenta Pedro, el proceso puede guardar, dependiendo de cómo esté de recursos la máquina en ese momento, la información en varios lugares. Nosotros intentaremos realizarlo desde la RAM. Para ello vamos a utilizar una herramienta de Spectra que, no sé por qué, ha pasado desapercibida durante mucho tiempo. La herramienta se llama User Mode Process Dumper, y sobre ella vamos a trabajar.

Esta herramienta tiene la capacidad de volcar al vuelo, y sin tener que matar al proceso, la memoria del proceso que le pasemos como parámetro. Vuelca incluso procesos de sistema!

Para ello, tenemos dentro de la herramienta, un ejecutable llamado Userdump.exe, el cual utilizaremos para este fin. La herramienta tiene soporte para 64 bits y plataformas basadas en Itanium, lo cual es un punto a su favor.

Y para los desarrolladores, esta herramienta tiene un instalador, el cual instala un driver en el sistema, para que pueda Hookear ciertas llamadas al kernel. Realizará estas funciones para dotar a la herramienta de volcar la memoria de un proceso cuando éste finalice de forma no planeada, forzosa, etc…

El funcionamiento de esta herramienta es bastante lógico y muy sencillo de utilizar. Para ello, no tendremos ni que utilizar la herramienta TaskList para visualizar los procesos por línea de comandos, ya que la herramienta viene programada, con el parámetro -p, para realizar esta función.

userdump1

Imagen 1.- Userdump mostrando procesos

Una vez que hayamos visualizado los procesos por línea de comandos, podremos extraer el contenido de la memoria del proceso que queramos, utilizando para ello la herramienta userdump.exe. El funcionamiento básico, como hemos dicho antes, es bastante sencillo de utilizar.

userdump

Imagen 2.- UserDump extrayendo memoria de un proceso determinado

Una vez extraído la memoria del proceso, podremos utilizar le herramienta de SysInternals-Spectra Strings para extraer el texto.

Strings iexplore.dmp > iexplore.txt

Una vez realizado ese cambio, podremos buscar, con la herramienta FindStr o Find texto específico o cadenas de texto específico.

strings

Imagen 3.- Resultado extracción Strings

En el próximo post veremos diferentes técnicas para extraer la misma información, pero automatizando las tareas.

Saludos!