Este blog ya no está activo, sigue informándote aquí:

Mostrar todo
Mostrando entradas con la etiqueta Volcado de Memoria. Mostrar todas las entradas
Mostrando entradas con la etiqueta Volcado de Memoria. Mostrar todas las entradas

viernes, 27 de mayo de 2016

Backtrack Academy.- FTK imager y Volatility.

Jarvis: El amo Albert no está disponible en estos momentos así que me ha encargado publicar esto para vosotros.

Espero que les guste.

Un saludo.

-------- Inicio del Post -----------------------------------------------

Parece que este es el mes de la Informática forense por que no paro de daros por saco con información relacionada con el tema, pero me ha dado por aquí y creo que os gusta. 

Hoy al ser viernes por la tarde supongo que tendréis un poco de tiempo libre antes de salir por la noche. Así que si os gusta Volatility y amáis tanto a FTKimager (Aunque entiendo que autopsy es mejor pero es un fetiche raro que tengo) como yo, os gustará la guía paso a paso que los amigos de Backtrack Academy han creado para la adquisición de evidencias en volcados de memoria ram con esas dos fantásticas herramientas. 

Enlace a la guia: 
Claro, los mas entendidos veréis que para trabajar con un sistema windows a lo mejor, FTKimager es una herramienta demasiado pesada para un solo volcado de memoria RAM. Bueno, pero por algun lado se ha de empezar. 

Sed Buenos y practicad mas ;) 

-------- End del Post -----------------------------------------------
Publicado por en No hay comentarios:
Etiquetas , , ,

martes, 17 de mayo de 2016

Buscando Malware con Volatility

Ya os dije hace un par de días os comenté que la búsqueda de malware en volcados de memoria era algo [que tenia pendiente] y claro, no podemos hablar de análisis de volcados de memoria sin mencionar a Volatility. 


Así que, a no ser que estéis acostumbrados a usar Volatility, hoy os dejo el "usage" y os recomiendo que os leáis detenidamente el caso de estudo con el que me he encontrado de cara y que realmente me parece una clase practica magistral. 

Volatility Usage: 

 – Using -h or –help option will display help options and list of a available plugins
Example: python vol.py -h

Use -f <filename>  and –profile to indicate the memory dump you are analyzing
            Example: python vol.py -f mem.dmp –profile=WinXPSP3x86

– To know the –profile  info use below command:
         Example: python vol.py -f mem.dmp imageinfo

- More information:
         https://code.google.com/archive/p/volatility/wikis/FullInstallation.wikifo

Caso de estudio:

Sed Buenos ;) 
 
Publicado por en No hay comentarios:
Etiquetas , , , ,

domingo, 15 de mayo de 2016

Slides.- Detectando Rootkits a través de volcados de memoria.

Supongo que ya sabréis por mi blog lo que me gusta hacer de perito e investigar en volcados de memoria. Pero si algo tengo pendiente y es básico es aprender a ver procesos en ese volcado que correspondan al comportamiento inusual del sistema que se esté analizando. Así que estas slides me parecen un buen comienzo para retomar el tema.



En estas slides que os recomiendo donde se destripan los siguientes tipos de rootkits:

  • Ring 3 (User-mode) 
  • Ring 0 (Kernel-mode) 
  • Basados en Hardware/Firmware based 
  • Basados en Virtualization.

Enlace a las slides:

Sed buenos ;) 

Publicado por en No hay comentarios:
Etiquetas , , , , ,

lunes, 25 de enero de 2016

Volatility.- PublicMemoryImages

Cada vez me curro menos los nombres y es verdad pero es que se explican por si solos, por ejemplo hoy os traigo un recopilatorio de Dumps de memoria infectados con malaware para que podamos jugar. 



Lo mejor de estos volcados de memoria es que vienen de la mano de Volatility (La herramienta escrita en Python para poder analizar de una manera fácil estos dumps) y cada uno de ells vienen infectado con un malware concreto. Así que tenemos muchas muestras con las que poder jugar. 

Si os pica la curiosidad, aquí os dejo el enlace: 
Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , ,

sábado, 23 de agosto de 2014

Volcado de Memoria Ram desde Meterpreter.

Como muchos os habréis supuesto o habéis tenido la oportunidad de trastear con esto, un volcado de la Memoria RAM nos puede dar sorpresas bastante buenas. Claro el problema radica en que tener acceso fisco al ordenador de la victima es difícil pero gracias a Meterpreter, el Superfamoso Payload para Metasploit y al script process_memdump.

Opciones de process_memdump:
  • -h --> Ayuda. (todo un clasico xD)
  • -n <opt> --> nombre del processo que quieres "dumperar" o volcar. 
  • -p <opt> --> PID (Process Identificator) del proceso que queremos volcar. 
  • -q  --> Búsqueda del tamaño del proceso que queremos volcar. En bytes. 
  • - r  <opt> --> Automatizar el volcado con un archivo de texto con la lista de nombres de los procesos para volcar, uno por línea.
  • -t -->  Añadir la localización en la información del volcado. 
La verdad es que me ha sorprendido gratamente encontrarme con este Script ya que, si tienes que hacer un forense de forma remota esto nos puede facilitar muchísimo la vida.

Espero que os haya gustado y Sed Buenos ;)  
Publicado por en No hay comentarios:
Etiquetas , , , ,

miércoles, 1 de enero de 2014

Análisis de Malware.- Colección de Archivos PCAP.

Hoy día oficial de la resaca en España he estado curioseando las redes sociales como cada día pero, hoy ha sido una alegría encontrarme con la entrada del blog [Contagio] el cual ha compartido la mayoría de volcados de memoria provenientes de análisis de Malware. la verdad es que me lo voy a pasar como un crío analizando toda esa información y algo me dice que muchos de vosotros también. 


"All of them show the first stage with the initial callback and most have the DNS requests as well. A few pcaps show extended malware runs (e.g. purplehaze pcap is over 500mb)." 
"Most pcaps are mine, a few are from online sandboxes, and one is borrowed from malware.dontneedcoffee.com. That said, I can probably find the corresponding samples for all that have MD5 listed if you really need them. Search contagio, some are posted with the samples."
Os dejo la pagina a continuación y espero aprender mucho de estos Dumpeados.


Sed Buenos ;)
Publicado por en No hay comentarios:
Etiquetas , , , , ,

viernes, 13 de diciembre de 2013

Introducción a WinDbg.

Como sabéis llevo una semana dándole duro al tema de los RootKits y después de haber dado un [rápido repaso por los tipos de volcado de memoria] es el momento de introducirnos en el mundo de WinDbg. Esta sera una serie mas de entradas pero es una parte que yo no había tocado en absoluto y ahora veo que es de lo mas fundamental para pelearnos contra RootKits.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////


WinDbg es una herramienta de depuración multifuncional proporcionado por Microsoft con Microsoft Windows. Se puede utilizar para depurar aplicaciones, controladores o el propio sistema operativo en modo kernel. WinDbg ofrece una cómoda (no es todo lo que me gustaría, pero cómoda lo es) interfaz gráfica de usuario. 

WinDbg trabaja exclusivamente con los volcados del tipo crash dump. Aunque, cualquier otro tipo de volcado de memoria se puede convertir a ese formato con [Memory MoonSols].

Enfocando un poco el uso de WinDbg para detectar rootkits en volcados de memoria debemos saber que Windows contiene varias tablas de puntero para manejar petición redirecciones. Estas tablas incluyen IDT (Interrupt descriptor table), SSDT (System Service Descriptor Table) y IAT (Import Address Table). Aunque un rootkit puede modificar cualquier puntero en estas tablas, o cambiar la propia tabla.

Creo que hasta aquí esta bien para todos, Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , , ,

miércoles, 11 de diciembre de 2013

Tipos de Volcados De Memoria

Como ya vimos en entradas anteriores los volcados de memoria serán una de las herramientas mas efectivas a la hora de pelarnos con los RootKits.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Los volcados de memoria
Hay cuatro tipos de volcados de memoria:
  • Crash dumps: Son archivos creados cuando el ordenador se bloquea. Todo el contenido de la memoria del sistema se guardan en un archivo.
  • Raw dumps: Son instantáneas completas de la memoria del sistema operativo.
  • hiberfil.sys: Es un archivo utilizado por el sistema operativo para permitir la hibernación. Cuando está en hibernación el sistema operativo, el contenido de la memoria volátil del ordenador se almacena en este archivo. El tamaño de este archivo será igual al tamaño de la memoria RAM del ordenador. Tenemos que tener en cuenta que las zonas asignadas en memoria que se almacenan en el disco duro no se guardan en hiberfil.sys.
  • Vmem: Es un archivo creado por VMware. Este archivo contiene toda la memoria volátil de una máquina virtual (incluido el contenido del archivo de paginación).
Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , ,
Suscribirse a: Entradas (Atom)