domingo, 26 de diciembre de 2010

Extraer y Analizar una imagen de la memoria RAM

Vamos a realizar un análisis forense a un sistema vivo, más concretamente en la memoria RAM. Lo primero que vamos a realizar es extraer una imagen de la RAM del equipo. Dicha imagen la almacenaremos como un fichero en cualquier dispositivo externo ajeno al sistema principal para preservar su integridad.

Extrayendo Imagen de la memoria Ram

Para extraer una imagen de la memoria RAM usaré el programa llamado Mantech Memory DD. Funciona bajo línea de comandos y no requiere instalación.

Ejecutamos el programa y mediente línea de comando ejecutamos:

mmd -o [nombre_de_la_imagen].

Esperamos un rato y tendremos el archivo de nuestra imagen creada de la RAM.

También se nos proporciona un código MD5 para saber si la integridad del archivo ha sido alterada.

Ahora pasamos al análisis de la imagen.

Analisis de la imagen de la memoria RAM

El análisis es la parte más "entretenida" y "divertida" de este proceso.
Para el análisis me apoyaré en Volatility (este framework permite el análisis siempre y cuando se tenga instalado Python).

El comando que usaremos tendrá la siguiente sintaxis:

python volatility [comando] -f [nombre_de_la_imagen].

Algunos de los comandos más usados para el análisis son:
  • files : Muestra la lista de los archivos abierto por cada proceso.

  • ident : Propiedades de la Imagen.

  • modscan: Listamos los módulos de memoria que ocupan los procesos en ejecución.

  • pslist: Nos indica todos los procesos que estaban ejecutándose en memoria.

  • sockets: Muestra una lista de sockets abiertos.

  • regobjkeys: Revelamos que directorios del registro están en relación directa con los procesos que se encontraban en ejecución.

Información (Inglés) y Descarga de Mantech Memory DD
Volatility

No hay comentarios: