Recuperar datos de la RAM tras apagar el equipo

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Recuperar datos de la RAM tras apagar el equipo

Notapor vlan7 » Jue Jul 24, 2008 7:10 pm

"Como no sabian que era imposible, lo hicieron"

La RAM almacena datos de lo que actualmente esta corriendo en el ordenador. Todo programa o proceso en ejecucion esta en la RAM. Otra cosa es que haya accesos a disco para recuperar informacion, pero todo lo que se esta ejecutando esta en la RAM.

(Casi) cualquier informatico, incluso expertos, te dirian que cuando apagas el ordenador, los datos que estaban en la RAM se pierden. Eso es falso. Los datos de la RAM van desapareciendo en un tiempo que oscila entre varios segundos y varios minutos, permitiendo el analisis forense de esos datos aunque se haya apagado el equipo.

Para aumentar este tiempo, podemos usar sprays de aire comprimido que enfrien la RAM a temperaturas cercanas a los -50ºC. Si el asunto es serio, puedes usar nitrogeno liquido hasta alcanzar cerca de los -200ºC para mantener en los chips la informacion durante HORAS.

Esto puede ser usado para capturar passwords almacenados en RAM, lo cual es muy frecuente que ocurra. Y tambien puede ser usado para violar utilidades de cifrado como Truecrypt, pues todas ellas se basan en almacenar las claves de descifrado en RAM. Esto se hizo asi porque lo creian seguro, pues el S.O. no deja a ningun programa acceder a estas claves en memoria, y en principio la unica manera de pasar del S.O. seria apagando el equipo, con lo cual todo el mundo sabe que las claves almacenadas en RAM desaparecerian. Todo el mundo menos los que como no sabian que era imposible, lo hicieron.

Pasemos a la accion.

Apagamos la maquina. Arrancamos con un S.O. desde nuestra llave USB por ejemplo, y copiamos el contenido de la memoria.

Haciendo esto habremos conseguido passwords almacenados en memoria, y claves de cifrado que podriamos usar para descifrar datos cifrados en disco.

Pero antes de pasar a la accion, esperemos un momento, demostremos todo esto.

UNIX. Crea un programa con un bucle infinito tal que asi:

Código: Seleccionar todo
#!/bin/bash
a = 'risperdal'
b = 'vlan7'
while [ 1 ]; do
  c = '$a$b'
done


Pero antes de ejecutarlo, pasa todo el contenido de la memoria al disco.

Código: Seleccionar todo
sync


Ejecutalo ahora. No se mostrara nada, pero al cabo de un rato veras que el ordenador empieza a leer de disco, pues la RAM se ha llenado.

Bien, ahora dale al boton de reset, y, cuando la maquina arranque, busca risperdal en memoria:

Código: Seleccionar todo
# strings /dev/mem |less


Veras trozos de la cadena risperdal. Esa es la prueba de que datos de la RAM permanecieron tras el reset de la maquina.

Y ahora el ataque. Y como yo soy asi, solo dire que podeis encontrar herramientas recientes (16-Jul-2008) en http://citp.princeton.edu/memory/code/

A jugar.

Suerte y Exitos.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Jue Jul 24, 2008 7:36 pm

Hola:

Información muy interesante.

Gracias risperdal ;)
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor wearth » Vie Jul 25, 2008 3:31 pm

La verdad que muy interesante.

Y que conste en acta.. yo era de las personas que pensaba que cuando apagábamos el pc, adiós muy buenas con la info de la RAM...


Gracias! ;-)
"Cuando el carro se haya roto, muchos os dirán por donde no se debía de pasar.."
wearth
<|:-)
<|:-)
 
Mensajes: 358
Registrado: Sab Dic 01, 2007 10:52 am

Notapor aLeZX » Vie Jul 25, 2008 4:56 pm

Asombroso.

"Cuando dices que algo es imposible, lo haces imposible".

Saludos!!
Hay que tener en cuenta que el foro no son más que ceros y unos, nosotros NO. (aLeZX)
El Esperanto es la mejor solución de la idea de Lengua internacional. (Albert Einstein)
Si avanzo, seguidme; si me detengo, paradme; si retrocedo, matadme.
Es más fácil ser una hoja más del pajar que la aguja.


Uno más danzando en el mundo de los blogs: http://alezx.wordpress.com
aLeZX
<|:-)
<|:-)
 
Mensajes: 878
Registrado: Vie Ago 26, 2005 3:29 pm
Ubicación: Vía Láctea, creo.

Notapor Arakiss » Vie Jul 25, 2008 8:49 pm

Risperdal eres un crack tio.No sabia que esto fuera posible,la verdad es que me ha dejado :shock: :shock:

Muchas gracias por la informacion ;)

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Raiden » Dom Jul 27, 2008 2:42 pm

Realmente muy interesante, creo que de no ser por tu post nunca se me habría ocurrido.

Ahora a trastear ;-)
Avatar de Usuario
Raiden
:-)
:-)
 
Mensajes: 31
Registrado: Mié Nov 23, 2005 3:19 am
Ubicación: Enrutado

Notapor Newhack » Dom Jul 27, 2008 7:16 pm

Risperdal escribió:Si el asunto es serio, puedes usar nitrogeno liquido hasta alcanzar cerca de los -200ºC para mantener en los chips la informacion durante HORAS.
Los datos aguantarán, y el cristal de silicio es de suponer que también. Pero a lo que es
el módulo completo (de memoria) no se que tal le puede sentar. Ya sabes, por las tracciones
debidas a la diferente dilatación del estaño, cobre, fibra de vidrio, metales internos de
cada chip ...
Sin hablar de que las piezas de semiconductor tienen también unas temperaturas máximas
y mínimas incluso para el almacenaje. No se cual será la de esos chips de memoria.



Respecto a lo de tu experimento, parece interesante. Un dia lo he de probar.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Arakiss » Lun Jul 28, 2008 9:51 am

Hay modulos de memoria RAM como DDR3 de altas prestaciones que aguantan temperaturas muy altas/bajas sin embargo no todo el mundo puede permitirse comprar este tipo de modulos.Estoy de acuerdo contigo New Hack en que hasta -200º no los podra mantener,no lo habia pensado sin embargo no es necesario que los tenga "congelados" a esas temperaturas con que los tenga a la maxima permitida por el fabricante bastaria.

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor atenea » Lun Jul 28, 2008 3:24 pm

Muy interesante, muchas gracias por crear una nueva dimensión en mi mente, ahora mismo estoy pensando en varias aplicaciones practicas.
atenea
:-)
:-)
 
Mensajes: 41
Registrado: Vie Sep 15, 2006 3:39 am

Notapor Newhack » Mar Ago 05, 2008 7:17 pm

Atenea escribió:Muy interesante, muchas gracias por crear una nueva dimensión en mi mente, ahora mismo estoy pensando en varias aplicaciones practicas.
Aplicaciones nobles y que se puedan contar aqui, (legales), espero. :badgrin: :p :evil:
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor atenea » Mié Ago 06, 2008 12:22 am

Por supuesto, el conocimiento siempre es legal y se puede contar en cualquier sitio.
No es la ciencia la que engendra el mal, es el mal uso humano quien engendra la mala fama de la ciencia.
atenea
:-)
:-)
 
Mensajes: 41
Registrado: Vie Sep 15, 2006 3:39 am

Notapor Newhack » Jue Ago 07, 2008 7:41 pm

A eso me refería, precisamente. :D
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1880
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Arakiss » Jue Oct 09, 2008 5:44 pm

Acabo de ver la el link de la pagina que nos ha mostrado risperdal y es impresionante la cantidad de informacion que hay en esa pagina,sobre todo el video teneis que verlo muy ilustrativo y explicativo.

Saludos y gracias una vez mas ;)
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Zykl0n » Jue Oct 09, 2008 6:49 pm

Joder, Hasta el día de hoy no me había puesto a pensar en ésto de la RAM, pero es totalmente "lógico", ya que la tarjeta guarda cierta cantidad de carga eléctrica por un tiempo determinado, no se puede vaciar inmediatamente...

Muchas gracias por la información, a ver qué se le puede ocurrir a alguno de los locos de aquí... jaja
Slackware - Linux for the SubGenius
Imagen
Avatar de Usuario
Zykl0n
:-)
:-)
 
Mensajes: 48
Registrado: Sab Sep 13, 2008 6:45 am

Notapor neomathews » Vie Oct 17, 2008 9:54 am

¿Cuantos son los segundos o minutos que dura la información en los chips a temperatura ambiente?
"No os diré no lloréis, pues no todas las lágrimas son amargas."
Avatar de Usuario
neomathews
<|:-)
<|:-)
 
Mensajes: 256
Registrado: Mar Jul 04, 2006 12:22 pm


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron