Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tema+3+ +practica

    Cargado por

    Alfredo De Jesus Cordova Abarca
    44 vistas18 páginas

    Título original

    Tema+3+ +Practica

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    44 vistas18 páginas

    Tema+3+ +practica

    Cargado por

    Alfredo De Jesus Cordova Abarca

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    Análisis Forense

    Juan José Delgado

    Tema 3 – Clase Práctica


    Título de la asignatura
    Profesor de la asignatura

    1. ¿Cómo realizar un volcado de memoria RAM?

    2. Volatility

    3. Cómo realizar la actividad del Tema 3

    4. Ejemplos

    Tema a tratar o idea a destacar


    ¿Cómo realizar un volcado de mem. RAM?

    Para realizar un volcado del contenido de la


    memoria RAM, en la mayoría de los Sistemas
    Operativos existentes deberemos hacer uso de
    programas externos.

    Algunos de estos programas son: FTK Imager


    (Windows), DumpIt (Windows), LiME (Linux), fmem
    (Linux), Mac Memory Reader (MacOS) o
    OSXPMem (MacOS).

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    El principal problema con el que nos solemos


    encontrar a la hora de realizar un volcado de la
    memoria RAM, es que son necesarios privilegios
    de administración para poder realizarlo.

    Si no los tenemos, y siempre como último


    recurso, podemos hacer uso de alguna de las
    siguientes técnicas:

    • La técnica de la guillotina
    • El ataque de arranque en frio (cold boot attack)

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    “La técnica de la guillotina” es una


    procedimiento muy útil cuando nos encontramos un
    ordenador encendido pero bloqueado, o cuando no
    disponemos de privilegios para ejecutar programas
    que realicen el volcado de la memoria RAM.

    Ahora bien, tenemos que tener en cuenta que


    esta técnica debe ser el último recurso, pues si no
    funciona, muy probablemente habremos perdido
    todo el contenido de la memoria.

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?
    Los pasos para realizarla son:

    1. Quitar el cable de corriente del disco duro que


    contenga el S.O.
    2. Reiniciar, lo más rápidamente posible el equipo
    con una distribución Linux especialmente
    preparada (Por ejemplo Damn Small Linux).
    3. Realizar una copia (mediante “dd” o “dc3dd”)
    del contenido de la memoria RAM.
    dd if=/dev/mem of=/mnt/sda1/volcado.dd

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?
    Los principales problemas de esta técnica son obvios:

    • En algunos equipos la RAM se inicializa a ceros al


    reiniciar.
    • Algunas BIOS escriben datos en la RAM.
    • Necesitamos una distribución Linux capaz de realizar
    copias de la memoria RAM (“/dev/mem”).
    • Seguimos teniendo el problema de que tenemos que
    cargar la menor cantidad de información posible en RAM
    para no sobrescribir, y en este caso estamos cargando un
    distribución Linux completa.

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    Tenéis más información sobre esta técnica de


    adquisición de la memoria RAM en las siguientes
    webs:

    http://forensiczone.blogspot.com.es/search/label/Guillotine

    https://citp.princeton.edu/research/memory/

    An In-depth Analysis of the Cold Boot Attack: Can it be Used for


    Sound Forensic Memory Acquisition?

    http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    “El ataque de arranque en frio (cold boot


    attack)” se puede utilizar en las mismas situaciones
    que la técnica de la guillotina.

    Igualmente, debemos entender que esta técnica


    es un último recurso ante casos en los que no sea
    posible realizar la adquisición mediante otros
    procedimientos menos intrusivos.

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    El procedimiento para la realización de este


    ataque consiste en enfriar rápidamente la memoria
    RAM, mediante el uso de espráis especiales que
    permiten “congelar” el contenido de la memoria.

    De esta forma, es posible extraer la memoria de


    un equipo y conectarla a otro desde el cual realizar
    la adquisición de manera similar a como la
    realizaríamos con la técnica de la guillotina.

    Análisis forense – Juan José Delgado


    ¿Cómo realizar un volcado de mem. RAM?

    Tenéis más información sobre esta técnica de


    adquisición en el siguiente paper:

    https://www.usenix.org/legacy/event/sec08/tech/full_papers/hald
    erman/halderman.pdf

    Y un claro ejemplo de su funcionamiento y fiabilidad en el


    siguiente video :

    https://www.youtube.com/watch?v=JDaicPIgn9U

    Análisis forense – Juan José Delgado


    Volatility

    Volatility, mas que un programa es un framework


    (escrito en Python) que ejecuta una serie de plugins
    utilizados para extraer información de la memoria
    RAM.

    La primera versión de Volatility se publicó en las


    conferencias de Black Hat en 2007.

    En la actualidad, y desde 2013 es la fundación


    Volatility la encargada de su desarrollo y mejora,
    siendo la última versión publicada la 2.5, de octubre
    de 2015.

    Análisis forense – Juan José Delgado


    Volatility

    Este framework lo podéis descargar desde:

    http://www.volatilityfoundation.org/

    Se encuentra disponible en dos versiones, la


    standalone, que es un único ejecutable con una serie
    de plugins ya añadidos, o el código fuente, el cual
    podéis modificar y al que le podéis añadir los
    distintos plugins que existen.

    Análisis forense – Juan José Delgado


    Volatility

    Más información sobre volatility

    • http://www.flu-project.com/search/label/volatility
    • http://www.seguridadx.com/volatility/
    • http://www.securityartwork.es/2011/03/07/analisis-forense-de-memoria-
    ram-en-linux/
    • http://www.slideshare.net/AndrewDFIR/mac-memory-analysis-with-
    volatility

    Análisis forense – Juan José Delgado


    Cómo realizar la actividad del Tema 3

    Pasos para realizar la actividad del tema 3,


    análisis de un volcado de la memoria RAM:

    1. Realizar un volcado de la memoria RAM de nuestro equipo


    2. Realizar un Hash al archivo obtenido
    3. Obtener, mediante Volatility:
    1. Formato del volcado
    2. Software utilizado para el volcado
    3. Historial del CMD
    4. Listado de navegadores en ejecución
    5. Listado de conexiones abiertas por los navegadores
    6. Historial de navegación de los navegadores abiertos
    4. Documentación del proceso

    Análisis forense – Juan José Delgado


    Ejemplos
    1. Ejemplo de adquisición de la memoria RAM en
    Windows con FTK Imager y DumpIt.
    2. Ejemplo de uso de Volatility.
    3. Ejemplo de cómo realizar la actividad del Tema 3

    Análisis forense – Juan José Delgado


    ¿Alguna pregunta?
    Análisis forense – Juan José Delgado
    www.unir.net

    También podría gustarte