SlideShare une entreprise Scribd logo

Análisis Forense Memoria RAM

Télécharger en tant que PPTX, PDF
Conferencias FIST
Conferencias FIST
Technologie
1  sur  30
► Introducción ► Otros métodos de adquisición ► Análisis memoria en plataformas Windows  Verificar la integridad  Recuperación de datos  Detección procesos ocultos  Conexiones de red  Representación gráfica ► Herramientas ► Preguntas
RAM, pagefile Análisis de Red Sistema de .sys,hiberfil.sy s ficheros, volu men Aplicaciones y sistema operativo Objetivo
► Qué puede contener un volcado de memoria  Procesos en ejecución  Procesos en fase de terminación  Conexiones activas TCP UDP Puertos  Ficheros mapeados Drivers Ejecutables Ficheros  Objetos Caché Direcciones Web Passwords Comandos tipeados por consola  Elementos ocultos
 SSDT Servicio de tabla de descriptores Utilizado por Windows Encamina llamadas del sistema hacia las API Encamina llamadas realizadas por Ring(3) al sistema  Espacio de direcciones del sistema  Espacio de direcciones del usuario  Proceso !=Programa Programa.- Secuencia instrucciones Proceso.- Contenedor. Guarda recursos que podrá utilizar el programa
► Buscando todo tipo de información almacenada  Estructuras EPROCESS Bloque de procesos Contiene atributos propios Punteros a otras estructuras Para cada kernel puede ser diferente Dt –a -b –v _EPROCESS (WinDBG)  Hilos en ejecución Un proceso puede tener uno o más hilos en ejecución !Thread (WinDBG)
►La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones ►Verificar la integridad de los datos? ►Se tiene que preparar el sistema para que lo soporte
►NotMyFault (Sysinternals) ►SystemDump (Citrix) ►LiveKD (Sysinternals) ►Teclado
►DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos ►DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
►Strings de Sysinternals Herramientapara extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… ►FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
► Windbg  Poderosa herramienta de depuración  Necesitamos los símbolos para poder trabajar con procesos  Pensada para “todos los públicos”  Mucha granularidad a nivel de comandos  Escalable (Plugins)  Se necesita mucha experiencia ► Memparser  Nace con un reto forense de RAM (DFRWS 2005)  Válida sólo para Windows 2000  La más completa en cuanto a funcionalidad  Evoluciona a las KntTools (Pago por licencia) ► Ptfinder  Desarrollada en Perl  Extrae información sobre procesos, threads y procesos ocultos (DKOM)  Interpretación gráfica de la memoria  Válida para W2K, XP,XPSP2, W2K3
► Wmft  Creada por Mariusz Burdach (http://forensic.seccure.net)  Demo para BlackHat 2006  Válida para Windows 2003 ► Memory Analisys Tools  Creada por Harlan Carvey (Windows Incident Response)  Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)  Válida para Windows 2000  Similar a Memparser
►Volatools Desarrollada por Komoku Inc It’s ALIVE!! POC capaz de buscar sockets, puertos, direcciones IP, etc.. Soporte XPSP3!!
► Ptfinder  En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.  Podemos analizar qué procesos son los padres y cuáles los hijos  Ideal para proyectos forenses
►Pstools (Sysinternals) ►PtFinder ►Windbg ►Memparser ►Volatools ►Wmft ►Hidden.dll (Plugin para Windbg)
►Sí!! Scripts nuevos Nuevas herramientas ENCASE Ptfinder soporta Windows VISTA!! Hidden.dll (Mariusz Burdach) Analizador de procesos ocultos para Windbg
► 08:00 - 09:00 Registro ► 09:00 - 09:15 Inauguración ► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos) ► 10:30 - 11:45 La Investigación en Seguridad ► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España) ► 11:45 - 12:15 Investigación del Cibercrimen ► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil ► 12:15 - 13:00 DESCANSO Y CÓCTEL ► 13:00 - 13:30 Tecnologías Antiforense ► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional ► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada ► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo ► URL: http://www.capsdesi.upm.es/
►Suscripción gratuita en technews@informatica64.com
Creative Commons You are free: Attribution-NoDerivs 2.0 •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Análisis Forense Memoria RAM

Recommandé

Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 

Recommandé

Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Johntheripper
JohntheripperJohntheripper
JohntheripperAlberto Pretto
 
Johntheripper
JohntheripperJohntheripper
JohntheripperOrlando Carrasco
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentosadrianavega123
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramientaEgdares Futch H.
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 
Sergio y cogollo (2)
Sergio y cogollo (2)Sergio y cogollo (2)
Sergio y cogollo (2)Diego Kilatonn
 
Hardware y software
Hardware y softwareHardware y software
Hardware y softwareEduardo Uvidia
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
intro.pptx
intro.pptxintro.pptx
intro.pptxSElmanderMaroneWerne
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoMario Alberto Parra Alonso
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativosrcarrerah
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 

Contenu connexe

Tendances

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentosadrianavega123
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramientaEgdares Futch H.
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajoKiim Kerrigan
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 

Tendances (10)

David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Johntheripper
JohntheripperJohntheripper
Johntheripper
 
Programas compresión de documentos
Programas compresión de documentosProgramas compresión de documentos
Programas compresión de documentos
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
 
Sistemas de seguridad trabajo
Sistemas de seguridad trabajoSistemas de seguridad trabajo
Sistemas de seguridad trabajo
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrack
 
Sergio y cogollo (2)
Sergio y cogollo (2)Sergio y cogollo (2)
Sergio y cogollo (2)
 
Hardware y software
Hardware y softwareHardware y software
Hardware y software
 

Similaire à Análisis Forense Memoria RAM

Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals SuiteRosariio92
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativosrcarrerah
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 
Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)YOLAGAR
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computaciónYaskelly Yedra
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Desarrollo de las pc.ppt
Desarrollo de las pc.pptDesarrollo de las pc.ppt
Desarrollo de las pc.pptvaradir1983
 

Similaire à Análisis Forense Memoria RAM (20)

Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
intro.pptx
intro.pptxintro.pptx
intro.pptx
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Sysinternals Suite
Sysinternals SuiteSysinternals Suite
Sysinternals Suite
 
3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos3. Conceptos de sistemas operativos
3. Conceptos de sistemas operativos
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)Aporte al grupal sistemas operativos (1)
Aporte al grupal sistemas operativos (1)
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computación
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Desarrollo de las pc.ppt
Desarrollo de las pc.pptDesarrollo de las pc.ppt
Desarrollo de las pc.ppt
 
Opensolaris flisol
Opensolaris flisolOpensolaris flisol
Opensolaris flisol
 

Plus de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Plus de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Dernier

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Dernier (11)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Análisis Forense Memoria RAM

  • 1.
  • 2. ► Introducción ► Otros métodos de adquisición ► Análisis memoria en plataformas Windows  Verificar la integridad  Recuperación de datos  Detección procesos ocultos  Conexiones de red  Representación gráfica ► Herramientas ► Preguntas
  • 3.
  • 4. RAM, pagefile Análisis de Red Sistema de .sys,hiberfil.sy s ficheros, volu men Aplicaciones y sistema operativo Objetivo
  • 5. Qué puede contener un volcado de memoria  Procesos en ejecución  Procesos en fase de terminación  Conexiones activas TCP UDP Puertos  Ficheros mapeados Drivers Ejecutables Ficheros  Objetos Caché Direcciones Web Passwords Comandos tipeados por consola  Elementos ocultos
  • 6. SSDT Servicio de tabla de descriptores Utilizado por Windows Encamina llamadas del sistema hacia las API Encamina llamadas realizadas por Ring(3) al sistema  Espacio de direcciones del sistema  Espacio de direcciones del usuario  Proceso !=Programa Programa.- Secuencia instrucciones Proceso.- Contenedor. Guarda recursos que podrá utilizar el programa
  • 7. ► Buscando todo tipo de información almacenada  Estructuras EPROCESS Bloque de procesos Contiene atributos propios Punteros a otras estructuras Para cada kernel puede ser diferente Dt –a -b –v _EPROCESS (WinDBG)  Hilos en ejecución Un proceso puede tener uno o más hilos en ejecución !Thread (WinDBG)
  • 8. ►La información que podemos recopilar depende de muchos factores Sistema operativo Time Live de la máquina Tamaño de la memoria
  • 9. ►Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Apagados Corrupciones ►Verificar la integridad de los datos? ►Se tiene que preparar el sistema para que lo soporte
  • 10.
  • 12.
  • 13. ►DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos ►DumpCheck (Citrix) Creada por Dmitry Vostokov Nos muestra sólo si cumple con la integridad o no Entorno gráfico
  • 14. ►Strings de Sysinternals Herramientapara extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… ►FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información
  • 15. Windbg  Poderosa herramienta de depuración  Necesitamos los símbolos para poder trabajar con procesos  Pensada para “todos los públicos”  Mucha granularidad a nivel de comandos  Escalable (Plugins)  Se necesita mucha experiencia ► Memparser  Nace con un reto forense de RAM (DFRWS 2005)  Válida sólo para Windows 2000  La más completa en cuanto a funcionalidad  Evoluciona a las KntTools (Pago por licencia) ► Ptfinder  Desarrollada en Perl  Extrae información sobre procesos, threads y procesos ocultos (DKOM)  Interpretación gráfica de la memoria  Válida para W2K, XP,XPSP2, W2K3
  • 16. Wmft  Creada por Mariusz Burdach (http://forensic.seccure.net)  Demo para BlackHat 2006  Válida para Windows 2003 ► Memory Analisys Tools  Creada por Harlan Carvey (Windows Incident Response)  Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)  Válida para Windows 2000  Similar a Memparser
  • 17. ►Volatools Desarrollada por Komoku Inc It’s ALIVE!! POC capaz de buscar sockets, puertos, direcciones IP, etc.. Soporte XPSP3!!
  • 18. ► Ptfinder  En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria.  Podemos analizar qué procesos son los padres y cuáles los hijos  Ideal para proyectos forenses
  • 19.
  • 21. ►Sí!! Scripts nuevos Nuevas herramientas ENCASE Ptfinder soporta Windows VISTA!! Hidden.dll (Mariusz Burdach) Analizador de procesos ocultos para Windbg
  • 22.
  • 23.
  • 24.
  • 25.
  • 26. 08:00 - 09:00 Registro ► 09:00 - 09:15 Inauguración ► 09:15 - 10:30 Adventures in Network Security ► Dra. Radia Perlman, Sun Microsystems (Estados Unidos) ► 10:30 - 11:45 La Investigación en Seguridad ► Dr. Arturo Ribagorda, Universidad Carlos III de Madrid (España) ► 11:45 - 12:15 Investigación del Cibercrimen ► D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil ► 12:15 - 13:00 DESCANSO Y CÓCTEL ► 13:00 - 13:30 Tecnologías Antiforense ► D. Manuel Vázquez, Jefe de la BIT de la Policía Nacional ► 13:30 - 14:00 Cómputo Forense desde la Iniciativa Privada ► 14:00 - 15:00 Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen ► 15:00 - 15:15 Clausura: D. Jorge Ramió, D. Justo Carracedo ► URL: http://www.capsdesi.upm.es/
  • 27. ►Suscripción gratuita en technews@informatica64.com
  • 28.
  • 29. Creative Commons You are free: Attribution-NoDerivs 2.0 •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.