Friday, November 21, 2008

UPDATE - Forense: aquisição e análise de dumps de memória RAM

21-11-2008 - Atualização:

Rob Lee (da Mandiant e Sans Institute) publicou um interessantíssimo post contendo um how-to sobre o que comentamos em setembro neste blog (Live Response versus Memory Analysis) , usando como exemplo o Memoryze e o Volatility. Vale a pena conferir estas referências sobre o assunto:

  1. http://www.hbgary.com/papers/The%20value%20of%20physical%20memory%20for%20incident%20response.pdf
  2. http://www.search.org/files/pdf/collectevidenceruncomputer.pdf
  3. http://sansforensics.wordpress.com/2008/11/19/memory-forensic-analysis-finding-hidden-processes/

05-09-2008 - Atualização:

Os pesquisadores Cal Waits, Joseph Ayo Akinyele, Richard Nolan e Larry Rogers - do Carnegie Mellon University’s Software Engineering Institute - publicaram ontem um interessante relatório - intitulado "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis. (SEI Technical Note CMU/SEI-2008-TN-017)".

O documento apresenta cenários onde evidências voláteis úteis à investigação são obtidas de duas formas diferentes:

1) coletadas de uma máquina ligada - utilizando ferramentas da Sysinternals (agora Microsoft).

2) colatadas através de dump da memória RAM da máquina - utilizando o Volatility e o PTFinder.

Para cada caso é mostrada a abordagem de resposta e de análise dos dados coletados, além de ser feita uma apresentação das vantagens e desvantagens dos métodos em questão e sua utilidade no curso de uma investigação envolvendo computadores ligados.

Ao final é sugerido pelos pesquisadores uma abordagem híbrida, utilizando tanto a análise de dados voláteis quanto dumps de memória durante a triagem do incidente em curso.

Para auxiliar grandes corporações a alcançar este objetivo em redes com milhares de pontos e grande complexidade, existem soluções comerciais como o Encase Enterprise, da Guidance Software.

23-06-2008:

Conforme apontado por Lance Mueller, a versão 6.11 do Encase Forensic possui utilitários standalone de extração de Memória RAM (32bits : "winen.exe" e 64bits: "winen64.exe" - que funcionam nos sistemas operacionais Windows 2000, XP, 2003 & Vista).

Z:\>winen.exe -h
Usage: [Options]
-p : Evidence File Path
-m : Evidence Name (Max Size:50)
-c : Case Number (Max Size:64)
-e : Examiner Name (Max Size:64)
-r : Evidence Number (Max Size:64)
-d : Compression level (0=None, 1=Fast, 2=Best) (Default: 0)
-a : A semicolon delimated list of Alternate paths
-n : Notes (Max Size:32768)
-s : Maximum file size in mb (Default: 640) (min:1 max:10485760)
-g : Error granularity (Sectors) (Default: 1) (min:1 max:1024)
-b : Block size (Sectors) (Default: 64) (min:1 max:1024)
-f : Path to configuration file
-t: Turns off hashing the evidence file (default: true)
-h: This help message

Para efetuar o parsing das imagens de memória adquiridas, podem ser utilizados:

1 - Encase + Enscripts Encase publicados por TK_Lane - para XP SP2 e para Windows 2000
2 - FTK Imager Lite
3 - Volatility Open Source (CygWin/OSX/Linux) - escrito em python

Volatility Supported Commands:

connections Print list of open connections
connscan Scan for connection objects
datetime Get date/time information for image
dlllist Print list of loaded dlls for each process (VERY verbose)
files Print list of open files for each process (VERY verbose)
ident Identify image properties such as DTB and VM type (may take a while)
modules Print list of loaded modules
pslist Print list of running processes
psscan Scan for EPROCESS objects
sockets Print list of open sockets
sockscan Scan for socket objects
strings Match physical offsets to virtual addresses (VERY verbose)
thrdscan Scan for ETHREAD objects
vaddump Dump the Vad sections to files
vadinfo Dump the VAD info
vadwalk Walk the vad tree

1 - Exemplo de extração de processos executando de um Windows XP:

ss@ss:~/Volatility-1.1.2$ python volatility pslist -f memory-images/xp-laptop-2005-06-25.img

Name Pid PPid Thds Hnds Time
System 4 0 61 1140 Thu Jan 01 00:00:00 1970
smss.exe 448 4 3 21 Sat Jun 25 16:47:28 2005
services.exe 580 528 18 401 Sat Jun 25 16:47:31 2005
lsass.exe 592 528 21 374 Sat Jun 25 16:47:31 2005
(...)
wuauclt.exe 2424 840 4 160 Sat Jun 25 16:49:21 2005
firefox.exe 2160 1812 6 182 Sat Jun 25 16:49:22 2005
PluckSvr.exe 944 740 9 227 Sat Jun 25 16:51:00 2005
iexplore.exe 2392 1812 9 365 Sat Jun 25 16:51:02 2005
PluckTray.exe 2740 944 3 105 Sat Jun 25 16:51:10 2005
PluckTray.exe 3256 1812 0 -1 Sat Jun 25 16:54:28 2005
cmd.exe 2624 1812 1 29 Sat Jun 25 16:57:36 2005
wmiprvse.exe 4080 740 7 0 Sat Jun 25 16:57:53 2005
PluckTray.exe 3100 1812 0 -1 Sat Jun 25 16:57:59 2005
dd.exe 4012 2624 1 22 Sat Jun 25 16:58:46 2005

2 - Exemplo de extração de conexões estabelecidasem de um Windows XP:

ss@ss-ubuntu:~/Volatility-1.1.2$ python volatility connections -f memory-images/xp-laptop-2005-06-25.img

Local Address Remote Address Pid
127.0.0.1:1056 127.0.0.1:1055 2160
127.0.0.1:1055 127.0.0.1:1056 2160
192.168.2.7:1077 64.62.243.144:80 2392
192.168.2.7:1082 205.161.7.134:80 2392
192.168.2.7:1066 199.239.137.200:80 2392


3 - Exemplo de extração de objetos EPROCESS em de um Windows XP:

ss@ss:~/Volatility-1.1.2$ ./volatility psscan -f memory-images/xp-laptop-2005-07-04-1430.img
No. PID Time created Time exited Offset PDB Remarks
---- ------ ------------------------ ------------------------ ---------- ---------- ----------------

1 0 0x00558e80 0x00039000 Idle
2 3612 Mon Jul 04 18:24:00 2005 0x013383b0 0x19d19000 PluckTray.exe
3 3276 Mon Jul 04 18:21:11 2005 0x0133d810 0x1ebc8000 firefox.exe
4 2496 Mon Jul 04 18:18:06 2005 0x01462be0 0x185c5000 VPTray.exe
5 2392 Mon Jul 04 18:18:03 2005 0x0146e860 0x17b7f000 explorer.exe
6 3128 Mon Jul 04 18:19:11 2005 0x01474510 0x1c1b5000 wuauclt.exe
7 368 Mon Jul 04 18:24:30 2005 Mon Jul 04 18:26:44 2005 0x01488350 0x1bb44000 PluckUpdater.ex
8 2692 Mon Jul 04 18:18:15 2005 0x014b8a58 0x1972e000 WZQKPICK.EXE
9 480 Mon Jul 04 18:17:29 2005 0x014dc020 0x0dec3000 winlogon.exe
10 2548 Mon Jul 04 18:18:07 2005 0x014ecc00 0x18962000 jusched.exe
11 680 Mon Jul 04 18:17:31 2005 0x014f0020 0x0e7b3000 svchost.exe
12 1380 Mon Jul 04 18:17:40 2005 0x01521da0 0x12701000 DefWatch.exe
13 524 Mon Jul 04 18:17:30 2005 0x015221c8 0x0e0de000 services.exe
(...)

Seguem para referência dois guias interessantes que detalham os passos a serem seguidos nos casos em que é necessária a Forense de Dados Voláteis:
Muitas novidades devem surgir neste campo em breve, um evento para ficar de olho é o Digital Forensics Research Workshop (DFRWS) 2008 - que ocorrerá em 10/08/2008 e sediará também o evento "Open Memory Forensics Workshop (OMFW)", com a presença já garantida dos seguintes especialistas:
  • Dr. Brian Carrier (Basis Technology)
  • Eoghan Casey (ONKC)
  • Dr. Michael Cohen (Australian Federal Police)
  • Brian Dykstra (Jones Dykstra & Associates)
  • Brendan Dolan-Gavitt (Georgia Institute of Technology)
  • Matthew Geiger (CERT)
  • Keith Jones (Jones Dykstra & Associates)
  • Jesse Kornblum (ManTech)
  • Andreas Schuster (Deutsche Telekom AG)
  • AAron Walters (Volatile Systems, LLC)

Posted by SS at 11/21/2008 08:26:00 PM
Labels: , , , , , , , , , , , ,

1 comment:

  1. Anonymous5/15/2012 4:48 PM

    Qual o melhor programa forense para analisar os arquivos dmp?

    ReplyDelete

Subscribe to: Post Comments (Atom)

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)