Parte V
Hola a tod@s!
En esta penúltima parte, vamos a realizar la búsqueda de MUTANT (MUTEX), a través de la herramienta volatility, y realizando para ello un análisis forense offline.
Para poder realizar esta búsqueda con éxito, el gran Andreas Schuster implementa un módulo para volatility, a través del cual, y resumido en pocas palabras, realiza una búsqueda de la cadena Mut? En memoria paginada y no paginada.
Imagen 1.- Búsqueda de cadena Mut?
El resultado es increíble, extrayendo no sólo la dirección de memoria y el nombre del Mutant, si no también información interesantísima, como por ejemplo el identificador de proceso (Client ID) que lo tiene referenciado.
Imagen 2.- Aplicación del módulo MutantScan en Volatility
En la próxima y última entrega, analizaremos la memoria offline, e intentaremos buscar evidencias, partiendo de los mismos principios que el estudio de Andreas Schuster. Lo único que vamos a cambiar esta vez, será la herramienta. En vez de utilizar Volatility Framework, se utilizará la herramienta WinDBG (Debugging Tools for Windows), y realizando las consultas de forma manual.
Saludetes!!
Referencias
Ya se te echaba de menos 😉
Muy bueno crack!
Un Saludo!!
¡Cuanto tiempo!
Mira que el Volatility dió para cachondeo 🙂
A ver que tal el WinDBG, que lo usé una vez y casi me vuelvo loco…
salu2
Julio