Sunday, May 30, 2010

Forense de Memória - Uma comparação de Ferramentas Disponíveis



[ 30/05/2010 - Update]

No post original de 2008 (abaixo) há uma lista de ferramentas de dump e análise de memória. Como não atualizo a lista há muito tempo, aproveito para divulgar um post do Tony sobre uma nova versão do Win32dd (e Win64dd), o MoonSols Windows Memory Toolkit. A grande desvantagem é que a versão free (Community Edition suporta apenas dumps de memória em Windows 32bits).

O FTKImager da AccessData - apesar de não listado originalmente - efetua com sucesso dumps de memória em diferentes versões de Windows 32 e 64 bits.

Como última nota, uma boa lista de ferramentas de dump de memória pode ser encontrada no ForensicsWiki.


[ 14/12/2009 - Update ]

Mais uma comprovação de que live response através de obtenção de dados a partir do sistema vivo a ser analisado não é o melhor a ser feito.

Já está disponível para download uma ferramenta para detecção e subversão dos dados enviados para o toolkit de live response forense "COFEE" da Microsoft: http://decafme.org/

Eu não chamaria de "Anti-Forense" porque a execução de comandos em um sistema vivo não pode ser considerada Fonrense.. Mas é uma ferramenta - anti-análise ..

A ferramenta DECAF por enquanto faz pouco, mas já mostra o que é possível em um cenário como este:

  • Contaminate MAC Addresses: Spoof MAC addresses of network adapters

  • Kill Processes: Quick shutdown of running processes

  • Shutdown Computer: On the fly machine power down

  • Disable network adapters

  • Disable USB ports

  • Disable Floppy drive

  • Disable CD-ROM

  • Disable Serial/Printer Ports

  • Erase Data: Quick file/folder removal (Basic Windows delete)

  • Clear Event Viewer: Remove logs from the Event Viewer

  • Remove Torrent Clients: Removes Azureus and BitTorrent clients

  • Clear Cache: Remove cookies, cache, and history

O ideal é a utilização de um DUMP de memória e posterior análise - ao menos para validar as capturas feitas via uma ferramenta deste tipo (continue lendo o artigo para mais informações..)

[ 10/11/2009 - Update ]

Tem havido bastante discussao acerca do vazamento da ferramenta "COFEE", que a Microsoft disponibiliza apenas para "Forças da Lei" (Law Enforcement).

Detalhes da ferramenta COFEE com screenshots: http://praetorianprefect.com/archives/2009/11/more-cofee-please-on-second-thought/

A verdade eh que o "COFEE" nao passa de um batch parametrizavel para First Responders com uma colecao de comandos do proprio windows e mais algus da sysinternals (que a MS comprou ha mais ou menos um ano. Alem disto, so funciona para XP e Windows 2000.

Segue a lista de comandos executados por default:


arp.exe ‐a
at.exe
autorunsc.exe
getmac.exe
handle.exe ‐a
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe ‐n
nbtstat.exe ‐A 127.0.0.1
nbtstat.exe ‐S
nbtstat.exe ‐c
net.exe share
net.exe use
net.exe file
net.exe user
net.exe accounts
net.exe view
net.exe start
net.exe Session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe localgroup administrators
net.exe group
netdom.exe query DC
netstat.exe ‐ao
netstat.exe ‐no
openfiles.exe /query/v
psfile.exe
pslist.exe
pslist.exe ‐t
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe print
sc.exe query
sc.exe queryex
sclist.exe
showgrps.exe
srvcheck \127.0.0.1
tasklist.exe /svc
whoami.exe


Como voces sabem (para mais detalhamentos, basta ler todo o post original), este tipo abordagem de executar multiplos comandos com o sistema ligado caiu em desuso e as melhores praticas* apontam para o dump de memória live e posterior análise.

*Referencia:

http://www.cert.org/archive/pdf/08tn017.pdf (este paper do CERT, entitulado "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis" conclui que a Captura/Análise Posterior de Memória tem múltiplos benefícios sobre a resposta à incidentes tradicional executando multiplos binarios em sistemas "vivos")

[ 11/10/2009 - Update ]


Foram divulgadas as novas versões do excelente windd [ win32dd e win64dd ]


[ 28/03/2009 - Update ]

Um ótimo paper sobre Forense de Memória foi publicado recentemente por Kristine Amari no portal do SANS: Techniques and Tools for Recovering and Analyzing Data from Volatile Memory (pdf)

O material busca definir e mostrar o estado atual da Forense de Memória. Dentre os tópicos apresentados, estão:
  • o funcionamento básico da memória volátil;

  • as técnicas de aquisição;

  • a localização de dados de interesse e sua persistência;

  • a enumeração de processos;

  • a recuperação de arquivos mapeados em memória;

  • as buscas simples e por assinatura de arquivos;

  • a detecção e recuperação de dados ocultos.

Adicionalmente, são apresentadas as seguintes ferramentas:

[ 13/12/2008 - Post Original ]


O assunto Live/Memory Forensics ou "forense de memória" está cada dia mais em pauta (inclusive em vários posts recentes deste blog).

Os motivos são vários:

1) com o o crescimento do tamanho dos discos rígidos e dos casos a serem investigados - tanto no mundo corporativo quando no mundo da criminalística - é inviável a manutenção do procedimento tradicional de se desligar da tomada o sistema a ser analisado e somente depois executar as análises nos discos relacionados.

2) a possível perda de informações sensíveis à investigação - o que pode ser ainda pior quando se trata de uma máquina com volumes (ou o disco inteiro) criptografados por ferramentas como o PGP Full Disk Encryption ou o TrueCrypt.

3) existem também os casos em que a análise de memória é a única alternativa para obtenção de informações úteis sobre o caso. Por exemplo, quando são usadas as interfaces AJAX de Webmails modernos (Google, Yahoo) - as informações sobre os emails lidos/escritos ficam somente em memória, não havendo artefatos úteis no disco, mesmo nas áreas não alocadas.

A última boa comparação sobre ferramentas deste tipo havia sido publicada em junho por Halan Carvey, autor do livro "Windows Forensics Analysis".

Pois bem, ontem mais um ótimo post sobre o assunto - entitulado "Windows Physical Memory: Finding the Right Tool for the Job" - foi publicado no site sobre computer forensics do Sans Institute.

O melhor é que neste último post do Sans, o autor (Johnh Sawyer) citou uma grande variedade de soluções - tanto free / open source, quanto comerciais - que facilitam o trabalho de capturar e analisar os dumps de memória de máquinas - segue a listagem contendo uma tradução livre e alguns comentários meus:

1 - Ferramentas de Aquisição de Memória:

1a - Mandiant Memoryze : boa ferramenta, capaz de fazer o dump de todo o range físico de memória, independente de APIs do Windows, identificação de drivers, hooks e módulos de kernel presentes na memória.

1b - Mantech Memory DD : como o Sawyer colocou, simples e eficiente.

1c - Win32dd - tem a vantagem de exportar também em formato do WinDbg - para posterior análise.

1d - Guidance Winen.exe/winen64.exe - conforme post de junho, a partir da versão 6.11 o Encase Forensic vem com dumpers de memória (32 e 64 bits). A boa notícia para quem não tem a licença/dongle é que o último Live CD Helix inclui o winen.exe

1e - Encase Forensic - possibilita o dump da memória inteira ou de processos específicos (veja)

1f - F-Response - Não faz o dump por si só mas estabelece um canal de comunicação iSCSI com a máquina para uso das outras ferramentas descritas no post.

1g - KNTTools da GMG Systems - este aqui eu não conhecia, Sawyer comenta que não vem sendo atualizado, então provavelmetne não o conheceremos em detalhes..

1h - FastDump da HBGary - excelente ferramentas gratuita que auxiliam o examinador a entender o funcionamento de executáveis (mais voltadas para estudo de malwares).

2 - Ferramentas de Análise de Dumps de Memória:

2a - Volatility - Excelente Framework - escrito em python e gratuito - que - juntamente com seus plugins - facilita em muito a extração de informações críticas aos examinadores forenses (como a passphrase de um sistema com Full Disk Encryption utilizando TrueCrypt..).

2b - Memoryze - da Mandiant, possui o output em XML (o que pode ser ruim se você busca clareza e bom se você precisa integrar com qq coisa que leia XML).

2c - HbGary Responder - considerada por analistas do mercado por muito tempo como a melhor ferramenta no ramo. Pode ser integrada facilmente a versao Enterprise do Encase.

2d - Enscripts para Encase Forensic/Enterprise - (ver figura) - no site de suporte da Guidance existem alguns Enscripts disponíveis para tarefas relacionadas à análise de memória.

PS: Existem várias outras ferramentas interessantes como referência de "memory analysis", como: FATKit, Flypaper da HBGary, Windows Memory Forensics Toolkit (FrameWork), memparser, PmoDump/Truman (FrameWork), WinDbg - a primeira ferramenta a analisar crash dump de memória física no windows (thanks, msuiche), Hibrshell (para análise de arquivos de hibernação windows de Xp a 2008), e KnTools (comercial - ver comentários do post).

PS2: A imagem no início deste post (tradução livre) faz parte do excelente paper "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis" - do Sans Institute (Ago/2008). Os autores deste paper concluem que a Captura/Análise Posterior de Memória tem múltiplos benefícios sobre a resposta à incidentes tradicional em sistemas "vivos" - leitura recomendada.


PS3: Uma outra boa fonte de referência sobre o assunto - que inclui também um estudo com análise de código rodando em máquinas linux e windows - é o livro "Malware Forensics" - de James M. Aquilina, Eoghan Casey e Cameron H. Malin.

8 comments:

  1. Rogério Salles12/15/2008 11:13 AM

    Excelente artigo. Vai ser muito útil!

    Rogério.

    ReplyDelete
  2. Só conhecia/usava o Volatility para análise de dump de memória (uso o bom e velho dd para fazer dump no Windows via \.\\PhysicalMemory mesmo)

    Vou dar uma estudada nestas outras opções...

    ReplyDelete
  3. Thanks for your interests into win32dd and hibrshell.

    You can even add WinDbg into "Ferramentas de Análise de Dumps de Memória:" category. After all, WinDbg is the first windows tool over the world to analyze physical memory crash dump ;-)

    ReplyDelete
  4. Ok msuiche, I have just edited the post and added Windbg in this category!

    Thanks for the follow up and keep the good work! =)

    ReplyDelete
  5. Noticed you had a pic of EnScripts that perform Memory analysis. Those are mine and you can get them from http://eddandforensics.blogspot.com/. Noticed you just used MemScript and thanks for the feedback.
    Kelcey

    ReplyDelete
  6. KnTTools...

    Eu me sinto um pouco como Mark Twain que, lendo os relatórios da sua morte, comentou que eles foram exageradas.

    George M. Garner Jr. - GMG Systems, Inc.

    ReplyDelete
  7. Estava procurando na net referências sobre análise de memória em português..

    Achei pouca coisa até, por isto obrigado pela contribuição e links!

    Arnaldo Fonseca Amado - HSM

    ReplyDelete
  8. Thanks for the windd update :D I hope you enjoyed it!
    Matt

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)