Em outubro eu postei sobre o pdgmail, uma ferramenta desenvolvida em python e disponibilizada por Jeff Bryner, que auxilia em muito a análise de dumps de memória de browsers por informações relacionadas ao uso do Gmail.
Pois bem, o mesmo autor publicou hoje o pdymail, uma ferramenta análoga para a nova interface do Yahoo! Mail, que como o Gmail utiliza JSON/AJAX/XML para manter várias informações em memória e deixa poucos vestígios de seu uso em disco.
O mais importante é definir antecipadamente a forma que você coletará o dump de memória (full ou do processo do browser em execução) - depois disto feito - o uso do pdymail é bastante simples (em linux ou cygwin):
$ strings -el pid1234.dump| ./pdymail -f -
Trocando em miúdos, este tipo de ferramenta é muito útil na fase de análise de investigações que envolvam interfaces modernas de WebMail como o Gmail e o Yahoo! Mail, pois não será muito útil utilizar o processo tradicional de vasculhar o disco por artefatos de Webmail (incluindo espaço não alocado/arquivos deletados).
Uma informação adicional, o dump terá informações úteis desde que o browser tenha sido utilizado anteriormente (naquela execução) para acesso a interface do Yahoo! Mail / Gmail. Ou seja, não é necessário que o usuário esteja logado do Webmail no momento do dump.
No comments:
Post a Comment