PDF de programación - Análisis forense a partir de recuperación de evidencias en memoria

Análisis forense a partir de
recuperación de evidencias

en memoria

Manuel Santander

[email protected]

Agenda

• Introducción

• La Organización de Información en memoria

• Adquisición de evidencia

• Demostración

• Conclusiones

• Preguntas y Comentarios

2

Introducción

• Evidencia electrónica

• Sofisticación de técnicas de

delitos informáticos

• No escritura en los medios

de almacenamiento

• Apagado del equipo para

análisis post-mortem

3

Introducción

• Se hace necesario utilizar

evidencia volátil para
investigaciones

• Los programas pueden

ejecutarse remotamente y
generar daños sin estar
registrados en el disco

• Rootkits y máquinas zombi

4

Introducción

5

La organización de la información en

memoria

Code

Segment

Data

Segment

Heap

Segment

Código
ejecutado por
el programa
en el
procesador

Datos
utilizados por
el programa

Datos
almacenados
por ablocación
de memoria
dinámica

6

La organización de la información en

memoria

Code

Segment

Módulos camuflados con código
malicioso objeto de investigación

7

La organización de la información en

memoria

Data

Segment

Heap

Segment

Datos que están utilizando los

programas objeto de investigación

8

La organización de la información en

memoria

9

La organización de la información en

memoria

10

La organización de la información en

memoria

11

Adquisición de la evidencia

• Objeto \\.\PhysicalMemory y

\\.\Debugmemory en
Windows

• /proc/kcore en Linux

• /dev/kmem en Solaris

• Dump completo de los

procesos y datos en memoria

12

Adquisición de la evidencia

• Forensic Acquisition Utilities

for Windows
(http://www.gmgsystemsinc.
com/fau/)

• Solaris Memory Dump

(http://docsun.cites.uiuc.edu/s
un_docs/C/solaris_9/SUNWd
ev/MODDEBUG/p18.html)

13

Adquisición de la evidencia

14

Demostración

15

Conclusiones

• La memoria tiene datos que
en ataques modernos no van
a pasar por el disco duro, lo
cual brinda evidencia
invaluable.

• Los datos de la memoria son

parte fundamental en la
correlación de eventos para la
fundamentación de un caso.

16

Conclusiones

• Debe prestarse especial
atención a la captura de
evidencia para no alterar
integridad del disco o la
información residente en
memoria

• Especial para la

comprobación de rootkits
y software malicioso

17

Preguntas?
Preguntas?

18

Muchas Gracias!
¡¡Muchas Gracias!

Manuel Humberto Santander Pelááezez
Manuel Humberto Santander Pel

Unidad Soluciones de Infraestructura y Soporte de
Unidad Soluciones de Infraestructura y Soporte de

Servicios
Servicios
Subdireccióón de Tecnolog
Subdirecci

n de Tecnologíía de Informaci
blicas de Medellíín n E.S.PE.S.P..

a de Informacióónn

Empresas Púúblicas de Medell
Empresas P

ee--mail: mail: [email protected]
[email protected]

19