BlogForensics

Hackear como un profesional forense digital para el aspirante a pirata informático, parte 14 (análisis forense de memoria en vivo)

¡Bienvenidos de nuevo, mis hackers en ciernes!

Una de las habilidades más básicas que debe dominar el investigador forense es la adquisición de datos de una manera sólida desde el punto de vista forense. Si los datos no se capturan de manera forense, es posible que no sean admisibles en los tribunales. En mi serie Kali Forensics, le mostré cómo adquirir una imagen forense, bit a bit, de un dispositivo de almacenamiento como un disco duro o una unidad flash, pero ahora vamos a sumergirnos en la memoria en vivo.

¿Por qué capturar la memoria en vivo?

En algunos casos, el investigador forense deberá tomar una imagen de la memoria en vivo. Recuerde, la RAM es volátil y una vez que se apaga el sistema, se perderá cualquier información en la RAM. Esta información puede incluir contraseñas, procesos en ejecución, sockets abiertos, contenido del portapapeles, etc. Toda esta información debe capturarse antes de apagar el sistema o transportarlo.

Además, muchos discos duros están cifrados con elementos como TrueCrypt y la contraseña reside en la RAM. Si el disco duro está encriptado, la captura de datos volátiles es aún más crucial ya que la información del disco duro puede no estar disponible para el investigador forense sin ella.

Hay muchas herramientas para capturar datos de la memoria, pero una empresa, AccessData, ha estado proporcionando su generador de imágenes FTK (Forensic Tool Kit) durante años de forma gratuita y, como resultado, se ha convertido en el estándar de facto en la captura de imágenes. Puede descargue FTK Imager aquí.

Paso 1: uso de FTK Imager para capturar memoria

Una vez que hayamos descargado e instalado FTK Imager, deberíamos recibir una pantalla como la que se muestra a continuación.

A continuación, haga clic en el menú desplegable “Archivo” y vaya a la selección “Capturar memoria”.

Se abrirá una ventana como la que se muestra a continuación. Tendrá que seleccionar dónde almacenar su volcado de memoria, cómo llamar al archivo, si desea incluir el archivo de paginación (memoria virtual) y si desea crear un archivo AD1 (tipo de datos propietario de AccessData).

En mi caso, creé un directorio llamado “volcados de memoria”, llamado el archivo memdump.mem, incluía la memoria virtual o el archivo de paginación, pero no creé un archivo AD1. Te recomiendo que hagas algo similar.

Cuando haya completado cada uno de estos, haga clic en el botón “Capturar memoria”.

Esto abrirá una ventana que rastreará el progreso de su captura. Si el sistema tiene mucha memoria, eso podría llevar un tiempo.

Paso 2: herramienta de análisis de memoria de volatilidad

Analizar una captura de memoria es un poco diferente a un análisis de disco duro. Una de las maravillas del análisis de la memoria es la capacidad de recrear realmente lo que estaba haciendo el sospechoso en el momento de la captura del sistema.

Entre las herramientas más utilizadas para el análisis de la memoria se encuentra la herramienta de código abierto con el nombre apropiado Volatilidad. Está integrado en Kali Linux, por lo que no es necesario descargarlo. Simplemente transfiera la imagen de memoria que capturó a su máquina Kali y podemos comenzar nuestro análisis.

Si no está utilizando Kali, puede descargar Volatility aquí. Ha sido adaptado para Windows, Linux y Mac OS X, por lo que funcionará en casi cualquier plataforma.

Paso 3: uso de la volatilidad para el análisis

Para usar Volatility, navegue hasta / usr / share / volatility.

kali> cd / usr / compartir / volatilidad

Dado que Volatility es una secuencia de comandos de Python, deberá anteponer el comando con la palabra clave pitón. Para ver la página de ayuda, escriba:

kali> python vol.py -h

Esto mostrará una larga lista de opciones de comando.

Y complementos.

Antes de que podamos trabajar en esta imagen de memoria, primero necesitamos obtener el perfil de la imagen. Esto recuperará información clave de la imagen. Este perfil ayudará a la volatilidad a determinar en qué lugar de la memoria se encuentra la información clave de captura, ya que cada sistema operativo coloca la información en diferentes espacios de direcciones.

Para obtener el perfil, escriba:

kali> python vol.py imageinfo -f / ubicación de su archivo de imagen

Por ejemplo, pongo mi imagen en mi escritorio, por lo que mi comando sería:

kali> python vol.py imageinfo -f /root/Desktop/memdump.mem

Este comando examinará el archivo de memoria en busca de evidencia del sistema operativo y otra información clave.

Como puede ver en la captura de pantalla anterior, Volatility identificó el sistema operativo como Win7SP0x64 (Windows 7, sin service pack, 64 bits). También identifica AS layer1 y 2, la cantidad de procesadores, el paquete de servicios y el espacio de direcciones físicas para cada procesador, entre muchas otras cosas.

Paso 4: uso del perfil

Ahora que hemos recuperado el perfil de este volcado de memoria, podemos comenzar a utilizar algunas de las otras funciones de Volatility. Por ejemplo, si quisiéramos enumerar las colmenas de registro, incluido SAM, podríamos usar la hiveinfo complemento escribiendo:

kali> python vol.py –profile Win7SP1x64 hiveinfo -f / ubicación de su imagen /

Tenga en cuenta que Volatility pudo enumerar todas las colmenas, incluida su ubicación virtual y física en la RAM.

La volatilidad es una poderosa herramienta de análisis de memoria con decenas de complementos que nos permiten encontrar evidencia de lo que estaba haciendo el sospechoso en el momento de la incautación de la computadora. En futuros tutoriales, le mostraré más de la multitud de usos de esta herramienta y cómo podemos usarla para encontrar evidencia de las actividades del sospechoso. ¡Así que sigan regresando, mis hackers en ciernes!

Imagen de portada a través de Shutterstock

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar