Já comentamos em algumas oportunidades aqui no blog a importância e o crescente interesse pelo processo de dump e posterior análise de memória RAM em máquinas investigadas em casos de resposta a incidentes e crimes envolvendo alta tecnologia.
Me impressionou a quantidade de mensagens antigas (possivelmente vindas do histórico armazenado de até 30 dias do skype) estavam presentes ainda na RAM de dois computadores analisados em meu laboratório...
Passos Necessários:
1) Instalar o Python na máquina de análise;
1) Na máquina alvo, fazer o dump de memória com uma das muitas ferramentas disponíveis:
C:\> win64dd /m 0 /r /f F:\physmem.bin
2) Executar um comando strings (linux ou windows) no dump criado:
c:\> strings physmem.bin > physmem-strings.txt
3) Rodar a ferramenta skypeex.py, e digitar o caminho do arquivo gerado no passo 2.
Pronto.
Mais Detalhes em: http://nickfurneaux.blogspot.com/2010/03/skype-chat-carver-from-ram-skypeex.html
Download: http://csitraining.co.uk/skypex.aspx
O autor da ferramenta recomenda o uso do windd para efetuar o dump de memória - para mais opções veja o primeiro post relacionado abaixo.
Posts relacionados:
Download: http://csitraining.co.uk/skypex.aspx
O autor da ferramenta recomenda o uso do windd para efetuar o dump de memória - para mais opções veja o primeiro post relacionado abaixo.
Posts relacionados:
- Forense de Memória - Uma comparação de Ferramentas Disponíveis
- Pdgmail: nova ferramenta para Forense de Memória do GMAIL (Out/2008)
- Pdymail - Forense de Memória para o Yahoo Mail (Jan/2009)
- Outros posts sobre análise forense de memória
- Outros posts sobre skype
caramba, mesmo sem o programa em python, achei uma quantidade de informacoes enorme no dump de memoria com o windd. senhas, conversas de msn, Skype, tudo!!! legais as dicas do blog...
ReplyDelete