Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Obteniendo hashes desde un volcado de memoria de Windows

Dom Feb 01, 2009 9:18 pm

Hola

Un tip muy util y que demuestra la importancia que cobra un volcado de la memoria fisica y el analisis del mismo.

Lo primero, disponer de python, facil en Linux (casi seguro viene instalado por defecto) y tambien facil en Windows mediante ActivePython o directamente los binarios para Windows.

Mejor instalar la version 2.6 dada la disponibilidad de una de las librerias necesarias para el proceso.

Una vez instalado python y desempaquetado volatilityen el sistema donde realizaremos el analisis necesitaremos un volcado de la memoria a analizar, el cual podemos obtener, por ejemplo, con mdd o win32dd.

Ahora instalaremos los plugins para el analisis de los rastros del registro de Windows en memoria. Mas informacion sobre su instalacion disponible aqui.

Para que los plugins anteriores funcionen correctamente necesitaremos PyCrypto. Podemos descargar los binarios precompilados para Windows desde aqui.

Y con todo el arsenal preparado solo nos resta seguir las instrucciones proporcionadas en el siguiente tip, publicado en el blog de ForensicZone.

Saludos

Util para EFS

Dom Feb 01, 2009 9:50 pm

Si me permites neofito, es mas facil asi...

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)

-Analizamos el archivo con utilidades UNIX.

Y ahora una pregunta... con cifrado EFS por directorio, los archivos son cifrados _antes_ de volcarlos al disco. ¿La info de los archivos EFS cacheados en memoria estan sin cifrar?

Y si estan sin cifrar... ¿por cuanto tiempo?

Y en UNIX, eCryptfs no se salva. Pero ese es otro tema...

Suerte,

Re: Util para EFS

Dom Feb 01, 2009 10:08 pm

vlan7 escribió:Si me permites neofito, es mas facil asi...

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)

-Analizamos el archivo con utilidades UNIX.

Y ahora una pregunta... con cifrado EFS por directorio, los archivos son cifrados _antes_ de volcarlos al disco. ¿La info de los archivos EFS cacheados en memoria estan sin cifrar?

Y si estan sin cifrar... ¿por cuanto tiempo?

Y en UNIX, eCryptfs no se salva. Pero ese es otro tema...

Suerte,


Porque en maquinas con menos de 2GB de RAM? Es muy interesante el volcado de memoria, sobre todo en análisis forenses

Re: Util para EFS

Dom Feb 01, 2009 10:38 pm

vlan7 escribió:Si me permites neofito, es mas facil asi...


Discrepo sobre lo acertado del metodo que propones. Sin duda creo resulta mas efectivo lanzar el volcado desde la propia sesion del usuario, dado que es posible conserve rastros que quedarian eliminados si previamente cerramos la sesion.

Saludos

PD: En todo caso esta es una apreciacion personal que puede o no ser mas acertada.

Re: Util para EFS

Lun Feb 02, 2009 8:37 am

neofito escribió:Discrepo sobre lo acertado del metodo que propones. Sin duda creo resulta mas efectivo lanzar el volcado desde la propia sesion del usuario, dado que es posible conserve rastros que quedarian eliminados si previamente cerramos la sesion.


Bueno neofito, fijate que yo dije facil, no efectivo.

De todas formas, segun http://www.nis-summer-school.eu/presentations/wietse_venema_lecture.pdf

En la parte donde comentan el metodo que describi dice 99.6% of the plain text was found undamaged.

Ahora cabria preguntarse si ese ratio es superior o inferior al ratio que se obtendria con el metodo que propusiste tu.

Y Nork, 2GB porque lo dice Microsoft en el KB que puse si no me equivoque en los numeros, y porque yo lo he probado en una maquina con 2GB y no me creaba ningun archivo de dumpeo de memoria.

Saludos,

Lun Feb 02, 2009 1:54 pm

Hola:

Desconocía esto:

En Win2k/XP, si la maquina tiene menos de 2GB de RAM, podemos hacer un volcado de la memoria fisica asi:

-Cerramos sesion.

-Hacemos un volcado pulsando CTRL+ScrollLock+ScrollLock (ver Microsoft KB254649 para ver donde se deja el volcado)


Muy interesante. Gracias por compartirlo.

Un saludo.

Re: Util para EFS

Lun Feb 02, 2009 9:04 pm

vlan7 escribió:Bueno neofito, fijate que yo dije facil, no efectivo.


Creo que tengo que discrepar contigo tambien por lo del concepto de facilidad. Tal y como bien indicas es posible provocar un volcado de la memoria de Windows mediante una pulsacion de teclas, pero para ello debe haberse preconfigurado el sistema objeto de analisis para permitir dicha funcionalidad.

Por otra parte el analisis del fichero resultante utilizando herramientas como strings es algo complicado, primero por la cantidad de datos obtenidos y segundo por la imposibilidad de dotar de un contexto a las diferentes "strings" localizadas.

Por otra parte para realizar el volcado utilizando mdd o win32dd unicamente es necesario contar con privilegios de admin y recomendable disponer de una unidad diferente a la utilizada por el sistema para evitar la sobreescritura de datos previos. ¿No es asi mucho mas simple?

Saludos

PD: Mas informacion sobre el tema en mi blog

Vie Feb 13, 2009 4:39 am

Perdonen mi intromision pero me gustaria saber la utilidad congreta o para que desarrollamos este analsis :D

saludos

Vie Feb 13, 2009 8:50 am

bad_robot escribió:Perdonen mi intromision pero me gustaria saber la utilidad congreta o para que desarrollamos este analsis :D

saludos


Pues como es evidente para un análisis forense ya que si haces un volcado de memoria podrás saber la información que se guardaba en el ultimo momento (programas en uso, datos en memoria...)
Publicar una respuesta