Obteniendo hashes desde un volcado de memoria de Windows

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Obteniendo hashes desde un volcado de memoria de Windows

Notapor neofito » Dom Feb 01, 2009 9:18 pm

Hola

Un tip muy util y que demuestra la importancia que cobra un volcado de la memoria fisica y el analisis del mismo.

Lo primero, disponer de python, facil en Linux (casi seguro viene instalado por defecto) y tambien facil en Windows mediante ActivePython o directamente los binarios para Windows.

Mejor instalar la version 2.6 dada la disponibilidad de una de las librerias necesarias para el proceso.

Una vez instalado python y desempaquetado volatilityen el sistema donde realizaremos el analisis necesitaremos un volcado de la memoria a analizar, el cual podemos obtener, por ejemplo, con mdd o win32dd.

Ahora instalaremos los plugins para el analisis de los rastros del registro de Windows en memoria. Mas informacion sobre su instalacion disponible aqui.

Para que los plugins anteriores funcionen correctamente necesitaremos PyCrypto. Podemos descargar los binarios precompilados para Windows desde aqui.

Y con todo el arsenal preparado solo nos resta seguir las instrucciones proporcionadas en el siguiente tip, publicado en el blog de ForensicZone.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Util para EFS

Notapor vlan7 » Dom Feb 01, 2009 9:50 pm

Si me permites neofito, es mas facil asi...

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)

-Analizamos el archivo con utilidades UNIX.

Y ahora una pregunta... con cifrado EFS por directorio, los archivos son cifrados _antes_ de volcarlos al disco. ¿La info de los archivos EFS cacheados en memoria estan sin cifrar?

Y si estan sin cifrar... ¿por cuanto tiempo?

Y en UNIX, eCryptfs no se salva. Pero ese es otro tema...

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Util para EFS

Notapor Nork » Dom Feb 01, 2009 10:08 pm

vlan7 escribió:Si me permites neofito, es mas facil asi...

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)

-Analizamos el archivo con utilidades UNIX.

Y ahora una pregunta... con cifrado EFS por directorio, los archivos son cifrados _antes_ de volcarlos al disco. ¿La info de los archivos EFS cacheados en memoria estan sin cifrar?

Y si estan sin cifrar... ¿por cuanto tiempo?

Y en UNIX, eCryptfs no se salva. Pero ese es otro tema...

Suerte,


Porque en maquinas con menos de 2GB de RAM? Es muy interesante el volcado de memoria, sobre todo en análisis forenses
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7

Re: Util para EFS

Notapor neofito » Dom Feb 01, 2009 10:38 pm

vlan7 escribió:Si me permites neofito, es mas facil asi...


Discrepo sobre lo acertado del metodo que propones. Sin duda creo resulta mas efectivo lanzar el volcado desde la propia sesion del usuario, dado que es posible conserve rastros que quedarian eliminados si previamente cerramos la sesion.

Saludos

PD: En todo caso esta es una apreciacion personal que puede o no ser mas acertada.
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Util para EFS

Notapor vlan7 » Lun Feb 02, 2009 8:37 am

neofito escribió:Discrepo sobre lo acertado del metodo que propones. Sin duda creo resulta mas efectivo lanzar el volcado desde la propia sesion del usuario, dado que es posible conserve rastros que quedarian eliminados si previamente cerramos la sesion.


Bueno neofito, fijate que yo dije facil, no efectivo.

De todas formas, segun http://www.nis-summer-school.eu/presentations/wietse_venema_lecture.pdf

En la parte donde comentan el metodo que describi dice 99.6% of the plain text was found undamaged.

Ahora cabria preguntarse si ese ratio es superior o inferior al ratio que se obtendria con el metodo que propusiste tu.

Y Nork, 2GB porque lo dice Microsoft en el KB que puse si no me equivoque en los numeros, y porque yo lo he probado en una maquina con 2GB y no me creaba ningun archivo de dumpeo de memoria.

Saludos,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Lun Feb 02, 2009 1:54 pm

Hola:

Desconocía esto:

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)


Muy interesante. Gracias por compartirlo.

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Re: Util para EFS

Notapor neofito » Lun Feb 02, 2009 9:04 pm

vlan7 escribió:Bueno neofito, fijate que yo dije facil, no efectivo.


Creo que tengo que discrepar contigo tambien por lo del concepto de facilidad. Tal y como bien indicas es posible provocar un volcado de la memoria de Windows mediante una pulsacion de teclas, pero para ello debe haberse preconfigurado el sistema objeto de analisis para permitir dicha funcionalidad.

Por otra parte el analisis del fichero resultante utilizando herramientas como strings es algo complicado, primero por la cantidad de datos obtenidos y segundo por la imposibilidad de dotar de un contexto a las diferentes "strings" localizadas.

Por otra parte para realizar el volcado utilizando mdd o win32dd unicamente es necesario contar con privilegios de admin y recomendable disponer de una unidad diferente a la utilizada por el sistema para evitar la sobreescritura de datos previos. ¿No es asi mucho mas simple?

Saludos

PD: Mas informacion sobre el tema en mi blog
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor bad_robot » Vie Feb 13, 2009 4:39 am

Perdonen mi intromision pero me gustaria saber la utilidad congreta o para que desarrollamos este analsis :D

saludos
Imagen
bad_robot
:-)
:-)
 
Mensajes: 43
Registrado: Sab Ene 17, 2009 3:38 am

Notapor Nork » Vie Feb 13, 2009 8:50 am

bad_robot escribió:Perdonen mi intromision pero me gustaria saber la utilidad congreta o para que desarrollamos este analsis :D

saludos


Pues como es evidente para un análisis forense ya que si haces un volcado de memoria podrás saber la información que se guardaba en el ultimo momento (programas en uso, datos en memoria...)
La televisión me ha culturizado porque cada vez que la encienden en casa me voy a leer a mi cuarto.
Avatar de Usuario
Nork
<|:-)
<|:-)
 
Mensajes: 476
Registrado: Dom Feb 11, 2007 1:00 am
Ubicación: 2348,8574,7


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron