Este documento presenta una introducción al análisis de memoria RAM en sistemas Windows. Explica qué es la memoria RAM, qué tipos de información puede contener como procesos, conexiones de red, contraseñas y datos ocultos. Describe métodos para capturar volcados de memoria RAM y herramientas para verificar la integridad de los datos y extraer información a través de un análisis estructurado y desestructurado. El documento concluye resaltando los retos del análisis forense de memoria RAM.

2. Consultor Seguridad I64

3. http://windowstips.wordpress.com

5. Introducción Análisis de Red

6. ¿Qué es la memoria RAM?

7. Volátil Memoria de acceso aleatorio Memoria para programas y datos Memoria temporal Se pierde al apagar el equipo

8. Introducción Qué puede contener un volcado de memoria Procesos en ejecución Iexplore LSASS Procesos en fase de terminación Conexiones activas TCP UDP Puertos

9. ¿Qué hay en la RAM?

10. Ficheros mapeados Drivers Ejecutables Ficheros Objetos Caché Direcciones Web Passwords Comandos tipeados por consola Elementos ocultos Rootkits (Userland & KernelLand)

11. ¿Cómo se estructura la memoria? KernelLand (Ring0) Tendrá permiso para acceder a todo el espacio de memoria Podrá comunicarse con el Hardware UserLand (Ring3) Apis podrán comunicarse con el Kernel Nivel con menor privilegio Acceso a Memoria Virtual

12. Qué se busca y por qué… EPROCESS Estructura que contiene datos relativos a un proceso Representación que hace Windows para cada proceso Fecha Creación, cuotas de uso, Token, PID THREADS Cada proceso puede crear 1 o más hilos en ejecución Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Tiempo de Kernel PEB Información sobre la Imagen Estructuras que residen en el espacio de memoria del usuario Virtual Memory & PhysicalMemory Permite al proceso usar más memoria que la que hay realmente Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria

13. Captura de memoria RAM Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones Verificar la integridad de los datos Se tiene que preparar el sistema para que lo soporte

14. No sólo se captura lo activo… La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria

15. Memoria RAM Paginada Paginación Pagefile.sys Hyberfil.sys Configuración de limpieza http://support.microsoft.com/kb/314834 HKEY_LOCAL_MACHINEYSTEMurrentControlSetontrolession Manageremory Management Reg_DWORD type ClearPagefileAtShutdown Value = 1 (Activado)

16. Métodos de Adquisición Software: NotMyFault (Sysinternals) SystemDump (Citrix) LiveKD (Sysinternals) Teclado HKEY_LOCAL_MACHINEYSTEMurrentControlSetervices8042prtarameters DWORD (CrashOnCtrlScroll) Hardware Copiadoras

17. Verificar la integridad DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos DumpCheck (Citrix) Creada por DmitryVostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico

18. Comprobación Integridad

19. Análisis memoria RAM

20. Análisis desestructurado de memoria RAM Strings de Sysinternals Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información

21. Análisis estructurado dememoria RAM Windbg Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Pensada para “todos los públicos” Mucha granularidad a nivel de comandos Escalable (Plugins) Se necesita mucha experiencia Memparser Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 Una de las más completas en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Ptfinder Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3

22. Detección de procesos ocultos Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Demo para BlackHat 2006 Válida para Windows 2003 Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158) Válida para Windows 2000 Similar a Memparser

23. Conexiones de Red A partir de un PID se puede Extraer información sobre conexiones de red Sockets abiertos Procesos en fase de terminación

24. Representación gráfica Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses

25. Volatility Volatility Inicialmente desarrollada por KomokuInc Comprada por Microsoft en 2008 Proyecto vivo! Capaz de buscar sockets, puertos, direcciones IP, etc..

26. Volatility

27. Conclusiones Cifrado de RAM Cumplimiento de LOPD? Ficheros temporales ¿Es sólo la RAM? Ficheros temporales de: Documentos ofimáticos Hyberfil.sys Impresión de documentos

28. Herramientas Pstools (Sysinternals) http://download.sysinternals.com/Files/PsTools.zip PtFinder http://computer.forensikblog.de/files/ptfinder/ptfinder-collection-current.zip Windbg http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx Memparser http://sourceforge.net/projects/memparser Volatools https://www.volatilesystems.com/ Wmft http://forensic.seccure.net/ Hidden.dll (Plugin para Windbg) http://forensic.seccure.net/tools/hidden.zip

29. Referencias Introducción a la informática forense en entornos Windows Autor: Silverhack http://www.elhacker.net/InfoForenseWindows.htm Introducción a la informática forense en entornos Windows 2ª parte Autor: Silverhack http://www.elhacker.net/InfoForenseWindows2.htm Introducción a la informática forense en entornos Windows 3ª parte Autor: Silverhack http://www.elhacker.net/InfoForense3.html Formas de Analizar un Virus Autor: Juan Garrido http://windowstips.wordpress.com/2007/02/25/formas-de-analizar-un-virus-un-paseo-por-rapidshare/ Comportamiento Virus Plataformas Windows Autor: Silverhack http://www.elhacker.net/comportamiento-virus.htm

30. Retos Forenses http://www.seguridad.unam.mx/eventos/reto/ http://www.dfrws.org/2005/challenge/index.html http://retohacking8.elladodelmal.com/

31. WebCast Microsoft Análisis Forense Sistemas Windows Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326593&EventCategory=4&culture=es-ES&CountryCode=ES Análisis Forense entorno Malware Ponente: Juan Luis Rambla (MVP Security Informática 64) UrlWebCast http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032326597&EventCategory=5&culture=es-VE&CountryCode=VE

32. WebCast Microsoft Análisis Forense de RAM en Sistemas Windows Ponente: Juan Garrido (Consultor seguridad I64) UrlWebCast https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032396459&EventCategory=5&culture=es-ES&CountryCode=ES

33. TechNews de Informática 64 Suscripción gratuita en http://www.informatica64.com/boletines.html

34. http://Windowstips.wordpress.com

35. http://legalidadinformatica.blogspot.com

36. http://elladodelmal.blogspot.com

37. Gracias!;-)