Para facilitar a análise de memória para usuários das novas versões do Encase (Enterprise, FIM e Forensic) a Guidance incluiu um Enscript chamado "Memory Analyzer", mas este depende de licença do (excelente) produto HBGary Responder instalado na máquina para funcionar.
Para uma análise da memória mais rápida, existia uma alternativa em antigas versões do Encase que não tem sido atualizada, ela utilizava o Framework do Memoryize- mais informações aqui: http://sseguranca.blogspot.com/2008/12/encase-memscript-memoryze-facilitando.html
Para as últimas versões do Encase (6.14, 6.15), tive a felicidade de entrar em contato nesta semana com uma suite de Enscripts desenvolvida por Takahiro Haruyama chamada "Memory Forensic Toolkit".
Estes Enscripts são baseados no famoso Volatility - ou seja, Haruyama aproveitou o código GPL em Python do Volatility e fez um port para o Enscript (primo do C# proprietário da Guidance Software).
A integração com o Encase ficou muito boa, e são suportados os formatos de dumps de memória RAW (WinDD, FTK Imager, Winen, DD, etc..) e também arquivos .vmem do VMWare para versões 32bit do Windows XP e Windows 7.
As funcionalidades, por módulo, são as seguintes:
- PsList (Lista todos os processos)
- KMList (Lista todos os módulos de Kernel)
- ConnList (Lista todas as conexões)
- VadSearch (Procura por palavras chaves *pré criadas e selecionadas* em " Virtual Address Descriptors" de um processo)
- DllList (Lista todas as bibliotecas de um processo)
- OpenFiles (Lista todos os arquivos abertos de um processo)
- ProcDump (Exporta um processo como um arquivo .exe no disco do examinador)
- Vtypes/Win32/x86 (Bibliotecas necessárias para o funcionamento dos EnScripts)
Download - para os interessados, a última versão (zip com os .Enscript) está disponível na página (japonesa) do autor: http://cci.cocolog-nifty.com/blog/2010/02/encase-enscri-1.html
No comments:
Post a Comment