Como sabemos, a importância de se coletar e analisar a memória física de máquinas envolvidas em crimes ou sob investigação de incidentes de segurança é cada vez maior. Os seguintes posts já foram publicados neste blog sobre o assunto:
- Forense de Memória - Uma comparação de Ferramentas Disponíveis
- FACE: Automated digital evidence discovery and correlation
- pdgmail: nova ferramenta para Forense de Memória do GMAIL
- ColdBoot Attack em Forense Computacional
- UPDATE - Forense: aquisição e análise de dumps de memória RAM
São pré-requisitos para ele: Memoryze, Audit Viewer (escrito em Python). Estas ferramentas tem licença BSD - o que facilita seu uso corporativo.
Depois de instalado na máquina do investigador, o processo é muito simplificado, pois basta escolher as máquinas a terem a memória coletada, efetuar o dump de memória pelo próprio Encase e depois utilzar o Memscript para efetuar a análise de memória, que contém os seguintes itens/subtitens:
ProcessAuditMemory (Files, Directories, Processes, Keys, Mutants, Events, Dlls, Strings, Memory Sections, Ports)
DriverAuditSignature (Root/All) (ImageBase, DriverName, DriverInit, DriverStartIO, DriverUnload, IRP_MJ_CLOSE, IRP_MJ_READ, + 20 campos IRP_MJ_*)
DriverAuditModuleList (ModulePath, ModuleName, ModuleInt, ModuleBase, ModuleSize, ModuleAddress)
RootkitAudit (HookedFunction, HookedModule, HookingModule, HookingAddress)
Existe um User Guide (PDF) muito bem escrito, descrevendo as funcionalidades do Audit Viewer.
No link incluído para o site da Mandiant, existe um passo a passo detalhado com capturas de telas, para auxiliar o investigador a configurar as ferramentas descritas.