Showing posts sorted by relevance for query encase. Sort by date Show all posts
Showing posts sorted by relevance for query encase. Sort by date Show all posts

Thursday, March 18, 2010

Forense de Memória: Port do Volatility para Enscript


Para facilitar a análise de memória para usuários das novas versões do Encase (Enterprise, FIM e Forensic) a Guidance incluiu um Enscript chamado "Memory Analyzer", mas este depende de licença do (excelente) produto HBGary Responder instalado na máquina para funcionar.

Para uma análise da memória mais rápida, existia uma alternativa em antigas versões do Encase que não tem sido atualizada, ela utilizava o Framework do Memoryize- mais informações aqui: http://sseguranca.blogspot.com/2008/12/encase-memscript-memoryze-facilitando.html

Para as últimas versões do Encase (6.14, 6.15), tive a felicidade de entrar em contato nesta semana com uma suite de Enscripts desenvolvida por Takahiro Haruyama chamada "Memory Forensic Toolkit".

Estes Enscripts são baseados no famoso Volatility - ou seja, Haruyama aproveitou o código GPL em Python do Volatility e fez um port para o Enscript (primo do C# proprietário da Guidance Software).

A integração com o Encase ficou muito boa, e são suportados os formatos de dumps de memória RAW (WinDD, FTK Imager, Winen, DD, etc..) e também arquivos .vmem do VMWare para versões 32bit do Windows XP e Windows 7.

As funcionalidades, por módulo, são as seguintes:
  • PsList (Lista todos os processos)
  • KMList (Lista todos os módulos de Kernel)
  • ConnList (Lista todas as conexões)
  • VadSearch (Procura por palavras chaves *pré criadas e selecionadas* em " Virtual Address Descriptors" de um processo)
  • DllList (Lista todas as bibliotecas de um processo)
  • OpenFiles (Lista todos os arquivos abertos de um processo)
  • ProcDump (Exporta um processo como um arquivo .exe no disco do examinador)
  • Vtypes/Win32/x86 (Bibliotecas necessárias para o funcionamento dos EnScripts)

Download - para os interessados, a última versão (zip com os .Enscript) está disponível na página (japonesa) do autor: http://cci.cocolog-nifty.com/blog/2010/02/encase-enscri-1.html



Posted by SS at 3/18/2010 01:12:00 AM 0 comments
Labels: , , , , , , ,

Sunday, March 7, 2010

Validação de Hardwares e Softwares para Computação Forense

[ Update: 07/03/2010 ]

Para quem
acha que os relatórios de validações de ferramentas forenses disponíveis estão um pouco antigos, existe uma oportunidade única oferecida pelo pessoal do NIST e do NW3C [National White Collar Crime Center (NW3C) ] - eles disponibilizaram este formulário para que a comunidade escolha quais produtos merecem ser revisados pela equipes destes órgãos.

Mais detalhes:



[ Post Original: 04/02/2010 ]

Dentre os princípios que norteiam a Computação Forense, a VALIDAÇÃO DAS FERRAMENTAS e técnicas utilizadas ocupa sempre um espaço de destaque.

Com o objetivo de facilitar este trabalho seguem algumas referências de validações técnicas (testes de hardwares e softwares) relacionados à Computação Forense publicadas por 3 diferentes entidades:

1) NIST - National Institute of Standards and Technology
2) US Department of Justice
3) Marshall University

Certamente os resultados presentes nos links abaixo podem ser úteis para o avaliar e comparar a qualidade e funcionalidade de diversos produtos, além de apresentar uma interessante visão das das metodologias utilizadas durante os testes.

Observação: Foram omitidos da relação que publicamos os testes realizados há mais de 3 anos - mas a totalidade dos testes pode ser verificada nos links fornecidos abaixo.

I) http://www.cftt.nist.gov/
II) http://www.nist.gov/itl/ssd/computer-forensics.cfm (projeto reiniciado em 2010)
III) http://nij.ncjrs.gov/publications/Pub_Search.asp?category=99&searchtype=basic&location=top&PSID=55


Geração de Imagens de Discos:
Preparação de Discos (WIPE/Sanitização)



Bloqueadores de Escrita via Software:
ACES Software Write Block Tool Test Report: Writeblocker Windows 2000 V5.02.00 (January 2008)
ACES Software Write Block Tool Test Report: Writeblocker Windows XP V6.10.0 (January 2008)

via Hardware:

T4 Forensic SCSI Bridge (FireWire Interface) (September 2009)
T4 Forensic SCSI Bridge (USB Interface) (September 2009)
Tableau T8 Forensic USB Bridge (FireWire Interface) (August 2008)
Tableau T8 Foresnic USB Bridge (USB Interface) (August 2008)
FastBloc FE (USB Interface) (June 2007)
FastBloc FE (FireWire Interface) (June 2007)
Tableau T5 Forensic IDE Bridge (USB Interface) (June 2007)
Tableau T5 Forensic IDE Bridge (FireWire Interface) (June 2007)
Tableau Forensic SATA Bridge T3u (USB Interface) (January 2007)
Tableau Forensic SATA Bridge T3u (FireWire Interface) (January 2007)
Tableau Forensic IDE Pocket Bridge T14 (FireWire Interface) (January 2007)


Dispositivos Móveis:



IV) http://forensics.marshall.edu/Digital/Digital-Pubs.html

Hardware Validations:

Validation Testing of Guidance Software’s FastBloc 2 Field Edition (FE)
Validation Testing of Guidance Software’s FastBloc Field Edition (FE)
Validation Testing of FastBloc Laboratory Edition (LE)
Validation Testing of Guidance Software’s FastBloc Software Edition (SE)
Verification of the Functionality of the X-Late HardCopy ATA Hard Drive Data Capture Unit
Sending multiple dd Image Captures to a Single Hard Disk Using Logicube Forensic MD5 Capturing System
Validation Testing of Paraben’s Lockdown
Validation Testing of the Logicube Serial-ATA (SATA) cloning adapter
Functionality Test of the Logicube® Forensic Talon Capturing System
Functionality Test of the UltraBlock™ Forensic Card Reader
Functionality Test of Tableau® UltraBlock™ Forensic USB Bridge Device
Functionality Test of the Logicube® Desktop Write-PROtect Adapter

Software Validations:

Independent Validation and Verification (IV&V) of EnCase Forensic Edition Law Enforcement and Government Edition Version 5 (update v.5.05d)
Independent Validation and Verification (IV&V) of AccessData’s Forensic Toolkit (FTK) Imager v.2.5.1
Posted by SS at 3/07/2010 05:50:00 PM 3 comments
Labels: , , , , , ,

Monday, December 22, 2008

Encase + Memscript + Memoryze - facilitando a analise forense de memória


Como sabemos, a importância de se coletar e analisar a memória física de máquinas envolvidas em crimes ou sob investigação de incidentes de segurança é cada vez maior. Os seguintes posts já foram publicados neste blog sobre o assunto:
Para fechar o ano com chave de ouro, a Mandiant acaba de publicar um grande facilitador desta tarefa para usuários do Encase (Forensic, FIM ou Enterprise). Trata-se de um EnScript chamado "Memscript" - que facilita em muito a análise de memória a partir da interface do próprio Encase.

São pré-requisitos para ele: Memoryze, Audit Viewer (escrito em Python). Estas ferramentas tem licença BSD - o que facilita seu uso corporativo.

Depois de instalado na máquina do investigador, o processo é muito simplificado, pois basta escolher as máquinas a terem a memória coletada, efetuar o dump de memória pelo próprio Encase e depois utilzar o Memscript para efetuar a análise de memória, que contém os seguintes itens/subtitens:

ProcessAuditMemory (Files, Directories, Processes, Keys, Mutants, Events, Dlls, Strings, Memory Sections, Ports)

DriverAuditSignature (Root/All) (ImageBase, DriverName, DriverInit, DriverStartIO, DriverUnload, IRP_MJ_CLOSE, IRP_MJ_READ, + 20 campos IRP_MJ_*)

DriverAuditModuleList (ModulePath, ModuleName, ModuleInt, ModuleBase, ModuleSize, ModuleAddress)

RootkitAudit (HookedFunction, HookedModule, HookingModule, HookingAddress)

Existe um User Guide (PDF) muito bem escrito, descrevendo as funcionalidades do Audit Viewer.

No link incluído para o site da Mandiant, existe um passo a passo detalhado com capturas de telas, para auxiliar o investigador a configurar as ferramentas descritas.
Posted by SS at 12/22/2008 11:26:00 AM 1 comments
Labels: , , , , , , , ,

Friday, November 21, 2008

UPDATE - Forense: aquisição e análise de dumps de memória RAM

21-11-2008 - Atualização:

Rob Lee (da Mandiant e Sans Institute) publicou um interessantíssimo post contendo um how-to sobre o que comentamos em setembro neste blog (Live Response versus Memory Analysis) , usando como exemplo o Memoryze e o Volatility. Vale a pena conferir estas referências sobre o assunto:

  1. http://www.hbgary.com/papers/The%20value%20of%20physical%20memory%20for%20incident%20response.pdf
  2. http://www.search.org/files/pdf/collectevidenceruncomputer.pdf
  3. http://sansforensics.wordpress.com/2008/11/19/memory-forensic-analysis-finding-hidden-processes/

05-09-2008 - Atualização:

Os pesquisadores Cal Waits, Joseph Ayo Akinyele, Richard Nolan e Larry Rogers - do Carnegie Mellon University’s Software Engineering Institute - publicaram ontem um interessante relatório - intitulado "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis. (SEI Technical Note CMU/SEI-2008-TN-017)".

O documento apresenta cenários onde evidências voláteis úteis à investigação são obtidas de duas formas diferentes:

1) coletadas de uma máquina ligada - utilizando ferramentas da Sysinternals (agora Microsoft).

2) colatadas através de dump da memória RAM da máquina - utilizando o Volatility e o PTFinder.

Para cada caso é mostrada a abordagem de resposta e de análise dos dados coletados, além de ser feita uma apresentação das vantagens e desvantagens dos métodos em questão e sua utilidade no curso de uma investigação envolvendo computadores ligados.

Ao final é sugerido pelos pesquisadores uma abordagem híbrida, utilizando tanto a análise de dados voláteis quanto dumps de memória durante a triagem do incidente em curso.

Para auxiliar grandes corporações a alcançar este objetivo em redes com milhares de pontos e grande complexidade, existem soluções comerciais como o Encase Enterprise, da Guidance Software.

23-06-2008:

Conforme apontado por Lance Mueller, a versão 6.11 do Encase Forensic possui utilitários standalone de extração de Memória RAM (32bits : "winen.exe" e 64bits: "winen64.exe" - que funcionam nos sistemas operacionais Windows 2000, XP, 2003 & Vista).

Z:\>winen.exe -h
Usage: [Options]
-p : Evidence File Path
-m : Evidence Name (Max Size:50)
-c : Case Number (Max Size:64)
-e : Examiner Name (Max Size:64)
-r : Evidence Number (Max Size:64)
-d : Compression level (0=None, 1=Fast, 2=Best) (Default: 0)
-a : A semicolon delimated list of Alternate paths
-n : Notes (Max Size:32768)
-s : Maximum file size in mb (Default: 640) (min:1 max:10485760)
-g : Error granularity (Sectors) (Default: 1) (min:1 max:1024)
-b : Block size (Sectors) (Default: 64) (min:1 max:1024)
-f : Path to configuration file
-t: Turns off hashing the evidence file (default: true)
-h: This help message

Para efetuar o parsing das imagens de memória adquiridas, podem ser utilizados:

1 - Encase + Enscripts Encase publicados por TK_Lane - para XP SP2 e para Windows 2000
2 - FTK Imager Lite
3 - Volatility Open Source (CygWin/OSX/Linux) - escrito em python

Volatility Supported Commands:

connections Print list of open connections
connscan Scan for connection objects
datetime Get date/time information for image
dlllist Print list of loaded dlls for each process (VERY verbose)
files Print list of open files for each process (VERY verbose)
ident Identify image properties such as DTB and VM type (may take a while)
modules Print list of loaded modules
pslist Print list of running processes
psscan Scan for EPROCESS objects
sockets Print list of open sockets
sockscan Scan for socket objects
strings Match physical offsets to virtual addresses (VERY verbose)
thrdscan Scan for ETHREAD objects
vaddump Dump the Vad sections to files
vadinfo Dump the VAD info
vadwalk Walk the vad tree

1 - Exemplo de extração de processos executando de um Windows XP:

ss@ss:~/Volatility-1.1.2$ python volatility pslist -f memory-images/xp-laptop-2005-06-25.img

Name Pid PPid Thds Hnds Time
System 4 0 61 1140 Thu Jan 01 00:00:00 1970
smss.exe 448 4 3 21 Sat Jun 25 16:47:28 2005
services.exe 580 528 18 401 Sat Jun 25 16:47:31 2005
lsass.exe 592 528 21 374 Sat Jun 25 16:47:31 2005
(...)
wuauclt.exe 2424 840 4 160 Sat Jun 25 16:49:21 2005
firefox.exe 2160 1812 6 182 Sat Jun 25 16:49:22 2005
PluckSvr.exe 944 740 9 227 Sat Jun 25 16:51:00 2005
iexplore.exe 2392 1812 9 365 Sat Jun 25 16:51:02 2005
PluckTray.exe 2740 944 3 105 Sat Jun 25 16:51:10 2005
PluckTray.exe 3256 1812 0 -1 Sat Jun 25 16:54:28 2005
cmd.exe 2624 1812 1 29 Sat Jun 25 16:57:36 2005
wmiprvse.exe 4080 740 7 0 Sat Jun 25 16:57:53 2005
PluckTray.exe 3100 1812 0 -1 Sat Jun 25 16:57:59 2005
dd.exe 4012 2624 1 22 Sat Jun 25 16:58:46 2005

2 - Exemplo de extração de conexões estabelecidasem de um Windows XP:

ss@ss-ubuntu:~/Volatility-1.1.2$ python volatility connections -f memory-images/xp-laptop-2005-06-25.img

Local Address Remote Address Pid
127.0.0.1:1056 127.0.0.1:1055 2160
127.0.0.1:1055 127.0.0.1:1056 2160
192.168.2.7:1077 64.62.243.144:80 2392
192.168.2.7:1082 205.161.7.134:80 2392
192.168.2.7:1066 199.239.137.200:80 2392


3 - Exemplo de extração de objetos EPROCESS em de um Windows XP:

ss@ss:~/Volatility-1.1.2$ ./volatility psscan -f memory-images/xp-laptop-2005-07-04-1430.img
No. PID Time created Time exited Offset PDB Remarks
---- ------ ------------------------ ------------------------ ---------- ---------- ----------------

1 0 0x00558e80 0x00039000 Idle
2 3612 Mon Jul 04 18:24:00 2005 0x013383b0 0x19d19000 PluckTray.exe
3 3276 Mon Jul 04 18:21:11 2005 0x0133d810 0x1ebc8000 firefox.exe
4 2496 Mon Jul 04 18:18:06 2005 0x01462be0 0x185c5000 VPTray.exe
5 2392 Mon Jul 04 18:18:03 2005 0x0146e860 0x17b7f000 explorer.exe
6 3128 Mon Jul 04 18:19:11 2005 0x01474510 0x1c1b5000 wuauclt.exe
7 368 Mon Jul 04 18:24:30 2005 Mon Jul 04 18:26:44 2005 0x01488350 0x1bb44000 PluckUpdater.ex
8 2692 Mon Jul 04 18:18:15 2005 0x014b8a58 0x1972e000 WZQKPICK.EXE
9 480 Mon Jul 04 18:17:29 2005 0x014dc020 0x0dec3000 winlogon.exe
10 2548 Mon Jul 04 18:18:07 2005 0x014ecc00 0x18962000 jusched.exe
11 680 Mon Jul 04 18:17:31 2005 0x014f0020 0x0e7b3000 svchost.exe
12 1380 Mon Jul 04 18:17:40 2005 0x01521da0 0x12701000 DefWatch.exe
13 524 Mon Jul 04 18:17:30 2005 0x015221c8 0x0e0de000 services.exe
(...)

Seguem para referência dois guias interessantes que detalham os passos a serem seguidos nos casos em que é necessária a Forense de Dados Voláteis:
Muitas novidades devem surgir neste campo em breve, um evento para ficar de olho é o Digital Forensics Research Workshop (DFRWS) 2008 - que ocorrerá em 10/08/2008 e sediará também o evento "Open Memory Forensics Workshop (OMFW)", com a presença já garantida dos seguintes especialistas:
  • Dr. Brian Carrier (Basis Technology)
  • Eoghan Casey (ONKC)
  • Dr. Michael Cohen (Australian Federal Police)
  • Brian Dykstra (Jones Dykstra & Associates)
  • Brendan Dolan-Gavitt (Georgia Institute of Technology)
  • Matthew Geiger (CERT)
  • Keith Jones (Jones Dykstra & Associates)
  • Jesse Kornblum (ManTech)
  • Andreas Schuster (Deutsche Telekom AG)
  • AAron Walters (Volatile Systems, LLC)

Posted by SS at 11/21/2008 08:26:00 PM 1 comments
Labels: , , , , , , , , , , , ,

Tuesday, December 8, 2009

30.000 pageviews uma marca a se comemorar


Caros leitores (assinantes do feed RSS, os que nos lêem via recebimento automático de emails, e os muitos visitantes que chegam a nós via queries do google também), gostaria de agradecer sinceramente a impressionante marca de 30.000 (TRINTA MIL) page-views que nosso blog está prestes a alcançar - depois de apenas 1 ano e meio no ar!

Já é uma tradição comemorar um múltiplo de 10.000 page views, e nosso registro até o momento é o seguinte:
  • 10.000 page-views - no dia 24/03/2009 (73 posts).
  • 20.000 page-views - no dia 21/08/2009 (100 posts).
  • 30.000 page-views - no dia 10/12/2009 (112 posts).

Contamos hoje com uma média de 200 visitantes únicos em dias de semana e além disto, já passam de 300 os assinantes somente no nosso RSS Feed!

Agradeço mais uma vez aos leitores que utilizando os comentários enriquecem sempre a discussão dos diferentes assuntos tratados por este blog.

Seguindo o espírito de comemoração, segue a listagem completa de posts já publicados até o momento - caso você tenha perdido algum assunto de interesse:
Como aperitivo seguem também alguns termos de pesquisa utilizados no ultimo mês em mecanismos de busca (principalmente google) que acabaram desembocando em nosso blog:

15 1.84% sandro suffert
8 0.98% anti-forense
7 0.86% apagao hackers
6 0.74% tipos de monitoramento
5 0.61% crimes eletronicos introduçao
5 0.61% helix3
5 0.61% sseguranca
5 0.61% IEF (Internet Evidence Finder)
4 0.49% grampo skype
4 0.49% Cyber war Russia vs China
4 0.49% arquivos .dbb do skype
4 0.49% Downadup ou Conficker
4 0.49% downadup
3 0.37% classificação de ativos, vulnerabilidades, ameaças, prob
3 0.37% backtrack 4 usb
3 0.37% Download Linux BackTrack 3
3 0.37% win32dd win64dd
3 0.37% tipos de monitoramento de servidor
3 0.37% anti-forense clean logs
3 0.37% conceitos de ameaças, vulnerabilidades e capacidades
3 0.37% software forensec analise memória
3 0.37% apagao o que aconteceu
3 0.37% ssegurança.blogpost
3 0.37% ssegurança.blog
3 0.37% sandro suffert blog
3 0.37% iccyber
3 0.37% GhostNet
3 0.37% vazamento de informações estratégicas
3 0.37% cyberwar
3 0.37% Recycle Bin Analyzer
3 0.37% Blogspot EnCase
3 0.37% Jeito simples de remover o Vírus Downadup /Conficker e Kido
2 0.25% ataques ddos backtrack
2 0.25% zenmap downadup
2 0.25% pdymail como utilizar
2 0.25% cibercrime em portugal
2 0.25% Ceic brasilia
2 0.25% exploit iis 6.0
2 0.25% testes segurança urnas
2 0.25% maneiras de invadir sites
2 0.25% ssegurança blog
2 0.25% analise risco compliance vulnerabilidade
2 0.25% guia forense computacional
2 0.25% exploit para vulnerabilidade
2 0.25% skype grampo 2009
2 0.25% suffert
2 0.25% iscsi "espionagem industrial"
2 0.25% download windows-kb890830-v2.6
2 0.25% tabela comparativa entre ferramentas de monitoramento
2 0.25% +videos +"conscientização de segurança"
2 0.25% nova lei PL84
2 0.25% Tratado de Budapeste e crimes e eletrônicos
2 0.25% code pdgmail para firefox
2 0.25% um breve resumo da lei 84/99
2 0.25% blogspot.com ddos
2 0.25% como atuar com netbot
2 0.25% classificação de ativos, vulnerabilidades, ameaças, probabilidades e impactos e alternativas de miti
2 0.25% cyber security
2 0.25% cert + Windows 7 * , Server 2008R2 Remote Kernel Crash
2 0.25% ms08-067 patch
2 0.25% trojan site oi
2 0.25% vulnerabilidade, ameaças, probabilidades, mitigação
2 0.25% risco e ameaça
2 0.25% "Alan Boulanger"
2 0.25% jeff code pdgmail
2 0.25% ssegurança blog post
2 0.25% ferramentas anti forense
2 0.25% defcon
2 0.25% segurança da informação impacto
2 0.25% habilito o firewall windows xp-sp3 e firewall da mcafee?
2 0.25% ROOTKIT + ANTI FORENSE
2 0.25% "conficker_mem_killer" + codigo
2 0.25% conceito vulnerabilidade tecnologica
2 0.25% projeto de lei contra os crimes eletronicos
2 0.25% material para treinamento de segurança
2 0.25% tipo segurança em rede
2 0.25% vivo hackers
2 0.25% invasao site vivo
2 0.25% segurança em desenvolvimento de software
2 0.25% a nova lei do cibercrime 2 outubro 2009
2 0.25% nmap kido
2 0.25% Analyzing Volatile Memory forense
2 0.25% criptografia forte
2 0.25% PL 84/99 PDF
2 0.25% WinNuke 2
2 0.25% tcpdump conficker
2 0.25% "alterar o arquivo" "opera" "websense"
2 0.25% dicas para uso dlp mcafee
2 0.25% shodan
2 0.25% conceito ssl
2 0.25% program to forense
2 0.25% nist 800-55
2 0.25% sistema operacional fbi
2 0.25% acesso remoto seguro DLP
2 0.25% como invadir uma maquina via email
2 0.25% críticas à Lei do Cibercrime
2 0.25% grmpo no skype
2 0.25% KIDO exploit ms08-067
2 0.25% video forense digital "blog"
2 0.25% ameaças à informação de uma organização
2 0.25% projeto de lei 84 99
2 0.25% projeto de lei crimes eletronicos
2 0.25% pdymail windows
2 0.25% defcon 2009
2 0.25% utilitário IEF (Internet Evidence Finder)
2 0.25% forjar certificado ssl
2 0.25% sites de hackers
2 0.25% download vacina worm conficker.c
2 0.25% banco godman sacks - fabricio samed
2 0.25% forense windows memory dump
2 0.25% Projeto de Lei de Crimes Eletrônicos (PL 84/99)
2 0.25% videos sobre vulnerabilidade windows
2 0.25% iis exploit
2 0.25% Tratado do cybercrime.pdf
2 0.25% software forense pdgmail
2 0.25% infoseg venda
2 0.25% o que é um 0 day+forence computacional
2 0.25% monitoração segurança
1 0.12% nmap p2p-conficker.nse smb-check-vulns.nse
1 0.12% “Tracking GhostNet”
1 0.12% classificaçao de ativos,vulnerabilidades,ameaças
1 0.12% mcafee antivirus nelson brito
1 0.12% forense program
1 0.12% internet explore forensis shadow
1 0.12% negação de serviço 2009
1 0.12% suffert blog
1 0.12% local file inclusion ja era
1 0.12% tipos de segurança de rede
1 0.12% microsoft fix it blogspot
1 0.12% vazamento de informacoes valiosas sobre a empresa
1 0.12% quanto custa uma ligação via skype para a china
1 0.12% onde eu baixo MS08-67
1 0.12% tse CEIC
1 0.12% encase forensic blogspot
1 0.12% codigo "hashclash" ca
1 0.12% forense + roubar + msn + crime
1 0.12% como adicionar page view no seu blogger
1 0.12% me digam pra qui servi o ndis filter kaspersky?
1 0.12% scan the internet shodun
1 0.12% conceito segurança publica
1 0.12% As vacinas estão desatualizadas. É altamente recomendado que você atualize o NOD32 imediatamente par
1 0.12% agente de ameaça vulnerabilidade
1 0.12% apagão rescente
1 0.12% ambev+invasao site
1 0.12% ferramentas forense strings
1 0.12% treinamento de equipes
1 0.12% tipos de monitoração
1 0.12% monitoração forense de rede governo brasileiro
1 0.12% riscos de vazamento de informações em empresas
1 0.12% criptografia na guerra
1 0.12% remover conficker link alternativo
1 0.12% ferramentas de forense no xp
1 0.12% Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X
1 0.12% skype grampo seguro
1 0.12% o apagão hacknroll
1 0.12% crimes eletronicos assunto
1 0.12% backtrack anti forense
1 0.12% "live cd backtrack 4"
1 0.12% patch automatizado remover conficker da rede
1 0.12% download backtrack 3 blogspot
1 0.12% codigo fonte msinfo32
1 0.12% ataques ao modem kinux
1 0.12% como utilizar trapkit pdgmail
1 0.12% DLP com software livre
1 0.12% forjar+certificado+digital+md5
1 0.12% itau ataque hackers por dia
1 0.12% vulnerabilidades ameaças impactos e alternativas de mitigação
1 0.12% certificação ibm ISS Technical Training
1 0.12% invadi ip 74.53.43.162
1 0.12% marcos.ppt + perícia computacional + techbiz
1 0.12% felipe balestra segurança
1 0.12% qual é a diferença de risco e ameaça
1 0.12% risco organização vulnerabilidades exemplos espionagem
1 0.12% vulnerabilidades 2009
1 0.12% Helix forense executar videos
1 0.12% apache 2.2.14 só funciona https http
1 0.12% habilitar wlan no backtrack
1 0.12% applet java invasão
1 0.12% Helix3 download
1 0.12% analise mactimes mac-robber
1 0.12% "lista de portas tcp"+"liberar"
1 0.12% sites que usam o MD5
1 0.12% tabelas dos efeitos negação de serviço
1 0.12% ie8 certificado digital object error
1 0.12% como detectar o conficker
1 0.12% vista+metasploits+vunerabilities
1 0.12% SSL TLS as vulnerabilidades em relação a Confidencialidade, Integridade e Disponibilidade
1 0.12% dicas para gerenciamento de blogs
1 0.12% firmware speedtouch 580 que corrige a alteracao de password
1 0.12% Classificação de ativos, vulnerabilidades,ameaças
1 0.12% botnet
1 0.12% segurança da informação conceitos de confidencialidade disponibilidade e integridade
1 0.12% O convite de www.m3d.com.ar Find out who deleted and blocked you from the MSN para iniciar a Tr
1 0.12% tcc "anti-forense"
1 0.12% ferramenta para remover do vírus worm/conficker.y.13
1 0.12% aprendendo mais sobre botnets
1 0.12% anti-forense sseguranca
1 0.12% ferramentas para detectar o conficker
1 0.12% componente da interface da ferramenta encase da guidance
1 0.12% ante viros avira
1 0.12% blog.hacknroll.com
1 0.12% audiência é page views ou visitas?
1 0.12% anti anti-forense blackhat
1 0.12% maneiras de invadir um site
1 0.12% como invadir site com o backtrack 3
1 0.12% é possível mover a Segurança da Informação
1 0.12% pdgmail forense
1 0.12% passo a passo do encase
1 0.12% o unico sistema verdadeiramente seguro
1 0.12% web fuzzy hash images
1 0.12% quais os maiores roubos de dados via internet
1 0.12% falso positivo mcafee
1 0.12% backtrack usb
1 0.12% Sugira uma forma de evitar ataques de replay (reprodução) em um protocolo de autenticação das partes
1 0.12% conceito de ameaça á tecnologia da informação
1 0.12% protocolo DNS
1 0.12% riscos versus ameacas
1 0.12% monitoramento e segurança de rede
1 0.12% PROJETO DE LEI N.° 84/99
1 0.12% diferença entre risco e ameaça
1 0.12% Open 7 Activator" XP não funciona
1 0.12% csirt livro
1 0.12% ferramenta forense de memoria gmail
1 0.12% AGENDA DE LEILAO CEIC
1 0.12% mudar a tela do logoff do windows xp cia fbi nsa
1 0.12% Automação Comercial DMP Informática download blogspot
1 0.12% performance measurement guide nist
1 0.12% ataques de bots
1 0.12% analise de riscos ativo vulnerabilidade ameaça
1 0.12% como atribuir o opendns ao modem speedtouch da gvt
1 0.12% tecnica "data Hiding" invasao
1 0.12% nomes de empresas que sofrem vandalismo dentro
1 0.12% spam um incoveniente ou uma necessidade
1 0.12% +risco +impacto +ameaça
1 0.12% tcpdump downadup
1 0.12% webmail.tumblr.com/modules.php?name=Registra 'free access to webmail'
1 0.12% MAterial de treinamento de equipes
1 0.12% site hackers
1 0.12% ameaça vs vulnerabilidade
1 0.12% "Emerson Wendt"
1 0.12% ERROR: .//rules/exploit.rules(26) Unknown ClassType: shellcode-detect
1 0.12% impacto de uma ameaça
1 0.12% dados sequestrados
1 0.12% helix 3 pro blogspot
1 0.12% CONCEITOS DE , AMEAÇA, PROBABILIDADE, RISCO
1 0.12% conficker blogspot
1 0.12% ssegurança eletronica
1 0.12% tecnicas anti-forense
1 0.12% skype algoritmos de criptografia
1 0.12% analise e gerenciamento de riscos, conceito de identif e classificação de ativos,vulnerabilidade,ame
1 0.12% implementar DLP
1 0.12% Fast-Flux dns
1 0.12% conceitos de segurança
1 0.12% skypealyzer torrent
1 0.12% enscript+filtrar+caracteres
1 0.12% ameaças em meu blog
1 0.12% O ataque Stealth
1 0.12% ataques SSL
1 0.12% ferramenta para remover o vírus worm/conficker.Y.13
1 0.12% vulnerabilidades, ameaças, probabilidades risco
1 0.12% mandado de prisão goias infoseg
1 0.12% ataque telefônica
1 0.12% invadir uma maquina
1 0.12% analise de risco segurança mitigaçao
1 0.12% Conficker/Downadup
1 0.12% http://praetorianprefect.com/archives/2009/11/more-cofee-please-on-second-thought/
1 0.12% linkto:shodan.surtri.com
1 0.12% negação de serviço por dns
1 0.12% classificação de ativos, vulnerabilidade, ameaças
1 0.12% hacker site ambev
1 0.12% um primeiro item da solução de segurança
1 0.12% 200.219.245.132
1 0.12% O pacote adobe-flash plugin precisa ser reinstalado, mas não foi possível encontrar um arquivo para
1 0.12% como invadir uma maquina xp
1 0.12% conficker varredura para rede
1 0.12% mcafee teste antivirus
1 0.12% dd no windows dump memoria
1 0.12% o que e invasão do tipo negação de serviço
1 0.12% maneiras pra invadir pc
1 0.12% phpMyAdmin - Erro Não pôde iniciar a sessão sem erros, cheque os erros ocorridos nos logs do PHP e/o
1 0.12% inforseg sistemas de segurança
1 0.12% vulnerabilidades protocolo TLS
1 0.12% russo dns tunilamento
1 0.12% passar o scan o cara tem apache e usa ssl mode
1 0.12% bill blunden anti forensics
1 0.12% adobe creative suite 4 master collection: revoked
1 0.12% software segurança blogspot
1 0.12% bsimm plano de ação
1 0.12% História e Evolução do SSL até o EV-SSL
1 0.12% "ms08-067" blogspot
1 0.12% botnet spam
1 0.12% avi ataque vulnerabilidade intrusão
1 0.12% falha no download wsus kernel32.dll
1 0.12% volatility connections
1 0.12% como fazer busca de palavras chave no encase?
1 0.12% Shodan - Computer search engine
1 0.12% seguranca de rede monitoramento
1 0.12% achar sites vuls e injetar botnets
1 0.12% chrome navegação anonima forense
1 0.12% definicao md-5
1 0.12% processo extorsão msn
1 0.12% Linux black hat 4
1 0.12% AMEAÇAS AOS SISTEMAS COMPUTACIONAIS VULNERABILIDADES AMEAÇAS E ATAQUES
1 0.12% como invadir iis 7
1 0.12% site: www.cshg.com.br get / http /
1 0.12% testar vulnerabilidade conficker.y
1 0.12% gerando relatorios usando OPENVAS
1 0.12% temas internet explorer 8 black
1 0.12% 7 maneiras de invadir um site
1 0.12% fuzzy logic siem
1 0.12% kntools dump memory
1 0.12% COMO INVADIR INFOSEG
1 0.12% crimes eletronicos projetos de lei brasil 2009
1 0.12% atualizacao xp Conficker, Kido e Downadup
1 0.12% ativos vulnerabilidades ameaças
1 0.12% ativos vulnerabilidades ameaças incidentes impactos
1 0.12% "O problema está na falta de associação a uma conexão "
1 0.12% sites para hackers
1 0.12% nova lei internet portugal
1 0.12% sslv3
1 0.12% Integridade Confidencialidade Disponibilidade
1 0.12% bssim
1 0.12% Que vulnerabilidades ou fraquezas podem ser identificadas nestes ativos?
1 0.12% ameaças, vulnerabilidades e riscos à segurança da informação
1 0.12% classificação de ativos, vulnerabilidades, ameaças
1 0.12% browsers concurso segurança chrome firefox ie
1 0.12% analise e gerenciamento de riscos ativos vulnerabilidade ameaça probabilidade impacto mitigação
1 0.12% ataques ssl
1 0.12% ief +internet
1 0.12% aconteceu ou aconteçeu
1 0.12% conceito de ameaças a tecnologia da informação !
1 0.12% download F-downadup link alternativo
1 0.12% definição de crimes eletronicos
1 0.12% cibercrime lei portugal
1 0.12% site do bradesco é invadido
1 0.12% comparação ferramentas anti spam
1 0.12% solução de DLP
1 0.12% conceitos de segurança de sistemas
1 0.12% OPENFILES.EXE
1 0.12% criar virus sequestrador de arquivos .bat
1 0.12% o risco e a ameaça
1 0.12% volatility phyton
1 0.12% quais sao os tipos d segurança na rede
1 0.12% programador russo
1 0.12% PL 84 DE 99 + 2009
1 0.12% skype chines
1 0.12% numero serial do cyber security
1 0.12% vulnerabilidades, ameaças, probabilidades e impactos e alternativas de mitigação.
1 0.12% lei cibercrime Portugal
1 0.12% como remover o meu ip da black list no Backscatter.org
1 0.12% o que sao os soquetes preto e vermelho do marcapasso
1 0.12% criando sistema getmac.exe
1 0.12% exploit ie 7 vulnerabilidade
1 0.12% pesquisa: Segurança de software
1 0.12% código fonte de exploit MS08-067
1 0.12% equaçao do risco segurança informação
1 0.12% usuarios administradores windows pode ser invadido
1 0.12% codigo fonte conficker
1 0.12% caso cross site nasa
1 0.12% maximun dump
1 0.12% helix3 blogspot
1 0.12% auditoria redes lista de enderecos mac
1 0.12% +55 atonio santos csv @yahoo.com.br @hotmail.com @aol.com 2009
1 0.12% sseguranca.blogspot
1 0.12% ataque hackers+ operadora vivo
1 0.12% iphone forensics
1 0.12% Vulnerabilidades ou Fraquezas podem ser identificadas nestes ativos
1 0.12% codigo secreto de roubar maquininha
1 0.12% O Antivírus não poderá impedir que um ataque tentar explorar alg
1 0.12% skype pode ser grampeado
1 0.12% expressoes regulares em php usando o valor hexadecimal
1 0.12% exemplo de ativos, vulnerabilidade, ameaças, impactos
1 0.12% conceitos de segurança da informação
1 0.12% segurança desenvolvimento software
1 0.12% compartilhamentos travando windows server 2008
1 0.12% o skype pode ser grampeado
1 0.12% Implementar em SWI -Prolog um programa que jogue o quebra cabeça conhecido como jogo dos oito,
1 0.12% WORM/Conficker.Y.12 - ]
1 0.12% lista de crimes eletronicos
1 0.12% IEF INTERNET EVIDENCE FINDER 2
1 0.12% dns ataques RAT
1 0.12% segurança ameaças probabilidades impactos
1 0.12% conceito de vulnerabilidade em segurança da informação
1 0.12% como invadir pela bios
1 0.12% guia encase
1 0.12% invadir maquina
1 0.12% ataque hosts substituído
1 0.12% win nuke 2
1 0.12% volatility connscan sintax
1 0.12% browser Air-flex filtrado por um proxy
1 0.12% falso-positivo
1 0.12% pl 84/99
1 0.12% tcc+forense+computação
1 0.12% informaçoes e comentarios sobre o skype
1 0.12% lei de portugal sobre software
1 0.12% chave de ativação "cyber security"
1 0.12% "the value of physical memory analysis for incident response"
1 0.12% mail forense
1 0.12% nova lei que referencia a PL-84
1 0.12% iccyber 2009 best paper
1 0.12% grampo no skype
1 0.12% safari 4 desafia chrome
1 0.12% ssuffert blog
1 0.12% world pass analise da maturidade do processo .xls
1 0.12% forense "analise de memória"
1 0.12% segurança e monitoração
1 0.12% vetores de ataque
1 0.12% habilitar content filter endian firewall 2.3
1 0.12% http//sseguranca.blogspot.com
1 0.12% vazamento de informações dentro de uma empresa
1 0.12% bradesco juridico Sign Lib.dll
1 0.12% BSIMM
1 0.12% http://sseguranca.blogspot.com/
1 0.12% guia do encase em português
1 0.12% vulnerabilidades no webex
1 0.12% vivo site invadido
1 0.12% software encase forensic memory
1 0.12% mantenha seguro
1 0.12% falha no DNS descoberta por Dan Kaminsky
1 0.12% ddos e 5s SPOOFING SPAMMING
1 0.12% Google Safe Browsing API
1 0.12% NIST SP 800 Series portugues
1 0.12% exemplo de vazamento de informação
1 0.12% shodan search
1 0.12% "forense computacional" ferramentas software download
1 0.12% punições para cibercrime
1 0.12% blue pill o que é
1 0.12% vazamento de informações que acontece no protocolo dns
1 0.12% derrubar OpenSSL/0.9.8d
1 0.12% malware impede acesso ao registro e gerenciador de tarefas
1 0.12% linux backtrack 3.0, download
1 0.12% vulnerabilidade conceito segurança da informação
1 0.12% troco bug infoseg por senhas
1 0.12% java malicioso
1 0.12% 4) Cite 3 exemplos de vulnerabilidades em segurança da informação.
1 0.12% anti forense
1 0.12% Conferência de Las Vegas Defcon e novos ataques
1 0.12% Ataques de DDoS
1 0.12% como ferramentas fazem o monitoramento de segurança da rede
1 0.12% ss]egurança
1 0.12% ironport c 160 infrastructure
1 0.12% analise de dump de memória
1 0.12% ferramenta encase
1 0.12% computacao anti forense
1 0.12% protocolo do kido
1 0.12% medley utiliza dados estatisticos?
1 0.12% baixar patch de segurança MS08-067.
1 0.12% conceito redes confidencialidade integridade disponibilidade
1 0.12% invasao rcp dcom
1 0.12% forense + gmail
1 0.12% nmap 5.0
1 0.12% Ameaças, Impactos, Probabilidades e Riscos
1 0.12% tabela de monitoramento de log
1 0.12% descriptografar arquivos de conversas do skype
1 0.12% download IEF Internet Evidence Finder
1 0.12% valor da informação Süffert
1 0.12% vazamento de informações
1 0.12% criptografia skype
1 0.12% medley blogspot
1 0.12% telefone do ´ceic da prospera
1 0.12% remote shell vulnerabilidades
1 0.12% como integrar Wsus con Cisco nac
1 0.12% instalando o OpenVas no linux
1 0.12% varrendo servidor proxi com zenmap
1 0.12% helix 3 manual
1 0.12% gpl botnet
1 0.12% gimmiv.a
1 0.12% Ferramenta HELIX para pegar informações alditoria. SHADOW USER
1 0.12% ameaça risco
1 0.12% pesquisa sobre pager views dos sites
1 0.12% jorgebenevides@ig.com.br
1 0.12% win32/conficker.ae fix tool
1 0.12% nist 800-30 em português
1 0.12% Paul Vixie 2009
1 0.12% "EnCase Portable" download site:.blogspot.com
1 0.12% exemplos de ameaças identificadas de uma organização
1 0.12% vulnerabilidade win 2008
1 0.12% backtrack 4 blog
1 0.12% netwitness
1 0.12% ssuffert
1 0.12% arquivo hosts com sites bancarios
1 0.12% Ataque Hacker em BIOS
1 0.12% codigo fonte do conficker
1 0.12% vendo infoseg 2009
1 0.12% protocolo smb2
1 0.12% conceito de segurança sistema operacional
1 0.12% Dan Kaminski invasao defcon
1 0.12% Conficker.C
1 0.12% como captar rede internet publica atraves speedtouch 580
1 0.12% "Malware Forensics"+livro
1 0.12% Em um ataque de negação de serviço quais as ações
1 0.12% IEF 2.0 DOWNLOAD INTERNET EVIDENCE FINDER
1 0.12% nmap conficker + rede interna
1 0.12% "Campanha de conscientização" segurança exercícios
1 0.12% 1. Defina os seguintes conceitos da segurança da Informação
1 0.12% win.netapi.buffer-overflow.exploit
1 0.12% material iccyber 2009
1 0.12% software para forense computacional
1 0.12% visão geral segurança no desenvolvimento de software
1 0.12% criptografia 256 bits blogspot
1 0.12% Win Nuke
1 0.12% ANONIMATO NO SKYPE
1 0.12% conficker vulnerabilidade vista
1 0.12% backtrack 3 live cd download
1 0.12% blogspot+malware inurl:forense
1 0.12% "Forense de REDE"
1 0.12% nmap detectar kido
1 0.12% ataque de negação de serviço
1 0.12% conficker downadup
1 0.12% black hat vs white hat: a batalha, guerra
1 0.12% três informaçoes sobre uma verdade inconveniente
1 0.12% AGENDA DE LEILOES CEIC
1 0.12% linux backtrack download blogspot
1 0.12% dns telefonica dos ataque
1 0.12% solução rede blog download
1 0.12% black hat 2009
1 0.12% hackers
1 0.12% byteclark.com.br
1 0.12% passo a passo forense
1 0.12% microsoft iis exploit
1 0.12% vulnerabilidade ameaça e ataque + segurança informação
1 0.12% alternativa linux ao encase
1 0.12% remover downadup com zenmap
1 0.12% download skypelog.c
1 0.12% impactos causados cache poisoning
1 0.12% criptografia russa
1 0.12% Destruição de Dados; Ocultação de Dados; Corrupção de Dados;
1 0.12% nessus blogspot download
1 0.12% configurar srvcheck
1 0.12% o que é dumps de memoria
1 0.12% exploits para atacar apache versao 2.2.14
1 0.12% numeros de cartoes visa rakers
1 0.12% ceic 2009 marcelo
1 0.12% ladrao admin@vuls.us
1 0.12% como instalar openvas
1 0.12% ferramentas de analise de memoria
1 0.12% o que e falsa segurança
1 0.12% kernel hacking and anti-forensics: evading memory analysis
1 0.12% ameaça capacidade vulnerabilidade
1 0.12% dump memoria firefox
1 0.12% padrão segurança SANS
1 0.12% http://shodan.surtri.com/?q=port%3A80+%22Camera%22+%22HTTP%2F1.0+200+OK%22
1 0.12% governo ghostnet
1 0.12% python pdgmail slides
1 0.12% grampear skype
1 0.12% preso por grampo no skype
1 0.12% venda infoseg
1 0.12% endpoint encryption mcafee criptografia hd externos com senhas
1 0.12% Patch de segurança do Windows XP: Capacidade de excluir certificados raiz no WinXP sp3
1 0.12% fazer monitoramento de seguranca de rede
1 0.12% gmail moria
1 0.12% ativos vulnerabilidades ameaças probabilidades impactos e alternativas de mitigação
1 0.12% Conceitos de Ameaças
1 0.12% ataque de DDoS tradicional e amplificado em DNS
1 0.12% classificação de ativos, vulnerabilidades, ameaças, probabilidades, mitigação
1 0.12% botnet ddos
1 0.12% chromiun+o.s+segurança
1 0.12% o protocolo do kido
1 0.12% "netscreen of the dead"
1 0.12% como usar programa secreto do fbi para invadir rede wirelees
1 0.12% Segurança de Informações para o Desenvolvimento de Software
1 0.12% shodan.surtri
1 0.12% kb890830 problema
1 0.12% presos hacker na OI
1 0.12% monitoramento e segurança de redes
1 0.12% ataque russo cyberwar
1 0.12% blogs segurança e vulnerabilidades
1 0.12% vivo ataque hackers setembro
1 0.12% mcafee blogspot
1 0.12% granpo no skype
1 0.12% tipos de segurança
1 0.12% descriptografar skype
1 0.12% requisitos ferramenta forense
1 0.12% risco e vulnerabilidade
1 0.12% infoseg blogspot
1 0.12% comparacao soluçoes dlp
1 0.12% principais acções do FBI
1 0.12% DNS TESTANDO DESCOBERTA
1 0.12% Programas Especializados em Defesa e Monitoramento de Redes: Firewall, IDS, Proxies, Antivirus, Anti
1 0.12% explorando vulnerabilidades no internet explorer python
1 0.12% analise memoria.dmp windows
1 0.12% sourcefire detect lfi local file
1 0.12% dump de memoria com o cofee
1 0.12% 7 conceito de segurança do trabalho
1 0.12% novas vulnerabilidades hackers
1 0.12% conceito md5
1 0.12% incidentes com segurança de informações
1 0.12% "forense" " Sandro Suffert"
1 0.12% leak of information by phishing telefonica
1 0.12% baixar BackTrack forense
1 0.12% riscos vazamento de informação
1 0.12% microsoft cofeee download inurl:blogspot
1 0.12% codigo cyber security
1 0.12% como excluir o gimmiv.a
1 0.12% analise e funcionamento do skype
1 0.12% conceito de segurana em ro
1 0.12% Segurança contra vazamento de informações
1 0.12% anti forense slack space
1 0.12% conceitos em segurança em banco de dados
1 0.12% infoseg internet explorer 8
1 0.12% live response forense
1 0.12% hacknroll apagao
1 0.12% invasão chrome 4
1 0.12% o que é BSIMM
1 0.12% shodan scan
1 0.12% conceitos de Risco, Vulnerabilidade, Ameaça e Impacto ainda confundem muita
1 0.12% como me livrar do conficker
1 0.12% site da empresa itix telecomunicações
1 0.12% antiforense metaxploit
1 0.12% epo-logonscript
1 0.12% ferramenta linux para detectar conficker
1 0.12% Rafael de Sousa infosec
1 0.12% kido d
1 0.12% vulnerabilidade na área de segurança
1 0.12% helix 3
1 0.12% enCase blogspot
1 0.12% segurança de rede referencias
1 0.12% minha empresa sofreu espionagem industrial
1 0.12% vazamento de informacoes na china
1 0.12% Blogsde Segurança do Trabalho
1 0.12% hacker pode ter ocasionado apagão
1 0.12% explique a abertura handshake
1 0.12% guidance software treinamento online
1 0.12% ps2 8d 2.0 bios exploit
1 0.12% COMO ME CADASTRAR AGENDA DE LEILOES CEIC
1 0.12% Winnuke 2 +blogspot
1 0.12% baixar o patch MS08-067
Posted by SS at 12/08/2009 11:52:00 PM 6 comments
Labels: , , ,

Sunday, May 30, 2010

Forense de Memória - Uma comparação de Ferramentas Disponíveis



[ 30/05/2010 - Update]

No post original de 2008 (abaixo) há uma lista de ferramentas de dump e análise de memória. Como não atualizo a lista há muito tempo, aproveito para divulgar um post do Tony sobre uma nova versão do Win32dd (e Win64dd), o MoonSols Windows Memory Toolkit. A grande desvantagem é que a versão free (Community Edition suporta apenas dumps de memória em Windows 32bits).

O FTKImager da AccessData - apesar de não listado originalmente - efetua com sucesso dumps de memória em diferentes versões de Windows 32 e 64 bits.

Como última nota, uma boa lista de ferramentas de dump de memória pode ser encontrada no ForensicsWiki.


[ 14/12/2009 - Update ]

Mais uma comprovação de que live response através de obtenção de dados a partir do sistema vivo a ser analisado não é o melhor a ser feito.

Já está disponível para download uma ferramenta para detecção e subversão dos dados enviados para o toolkit de live response forense "COFEE" da Microsoft: http://decafme.org/

Eu não chamaria de "Anti-Forense" porque a execução de comandos em um sistema vivo não pode ser considerada Fonrense.. Mas é uma ferramenta - anti-análise ..

A ferramenta DECAF por enquanto faz pouco, mas já mostra o que é possível em um cenário como este:

  • Contaminate MAC Addresses: Spoof MAC addresses of network adapters

  • Kill Processes: Quick shutdown of running processes

  • Shutdown Computer: On the fly machine power down

  • Disable network adapters

  • Disable USB ports

  • Disable Floppy drive

  • Disable CD-ROM

  • Disable Serial/Printer Ports

  • Erase Data: Quick file/folder removal (Basic Windows delete)

  • Clear Event Viewer: Remove logs from the Event Viewer

  • Remove Torrent Clients: Removes Azureus and BitTorrent clients

  • Clear Cache: Remove cookies, cache, and history

O ideal é a utilização de um DUMP de memória e posterior análise - ao menos para validar as capturas feitas via uma ferramenta deste tipo (continue lendo o artigo para mais informações..)

[ 10/11/2009 - Update ]

Tem havido bastante discussao acerca do vazamento da ferramenta "COFEE", que a Microsoft disponibiliza apenas para "Forças da Lei" (Law Enforcement).

Detalhes da ferramenta COFEE com screenshots: http://praetorianprefect.com/archives/2009/11/more-cofee-please-on-second-thought/

A verdade eh que o "COFEE" nao passa de um batch parametrizavel para First Responders com uma colecao de comandos do proprio windows e mais algus da sysinternals (que a MS comprou ha mais ou menos um ano. Alem disto, so funciona para XP e Windows 2000.

Segue a lista de comandos executados por default:


arp.exe ‐a
at.exe
autorunsc.exe
getmac.exe
handle.exe ‐a
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe ‐n
nbtstat.exe ‐A 127.0.0.1
nbtstat.exe ‐S
nbtstat.exe ‐c
net.exe share
net.exe use
net.exe file
net.exe user
net.exe accounts
net.exe view
net.exe start
net.exe Session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe localgroup administrators
net.exe group
netdom.exe query DC
netstat.exe ‐ao
netstat.exe ‐no
openfiles.exe /query/v
psfile.exe
pslist.exe
pslist.exe ‐t
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe print
sc.exe query
sc.exe queryex
sclist.exe
showgrps.exe
srvcheck \127.0.0.1
tasklist.exe /svc
whoami.exe


Como voces sabem (para mais detalhamentos, basta ler todo o post original), este tipo abordagem de executar multiplos comandos com o sistema ligado caiu em desuso e as melhores praticas* apontam para o dump de memória live e posterior análise.

*Referencia:

http://www.cert.org/archive/pdf/08tn017.pdf (este paper do CERT, entitulado "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis" conclui que a Captura/Análise Posterior de Memória tem múltiplos benefícios sobre a resposta à incidentes tradicional executando multiplos binarios em sistemas "vivos")

[ 11/10/2009 - Update ]

Foram divulgadas as novas versões do excelente windd [ win32dd e win64dd ]


[ 28/03/2009 - Update ]

Um ótimo paper sobre Forense de Memória foi publicado recentemente por Kristine Amari no portal do SANS: Techniques and Tools for Recovering and Analyzing Data from Volatile Memory (pdf)

O material busca definir e mostrar o estado atual da Forense de Memória. Dentre os tópicos apresentados, estão:
  • o funcionamento básico da memória volátil;

  • as técnicas de aquisição;

  • a localização de dados de interesse e sua persistência;

  • a enumeração de processos;

  • a recuperação de arquivos mapeados em memória;

  • as buscas simples e por assinatura de arquivos;

  • a detecção e recuperação de dados ocultos.

Adicionalmente, são apresentadas as seguintes ferramentas:

[ 13/12/2008 - Post Original ]

O assunto Live/Memory Forensics ou "forense de memória" está cada dia mais em pauta (inclusive em vários posts recentes deste blog).

Os motivos são vários:

1) com o o crescimento do tamanho dos discos rígidos e dos casos a serem investigados - tanto no mundo corporativo quando no mundo da criminalística - é inviável a manutenção do procedimento tradicional de se desligar da tomada o sistema a ser analisado e somente depois executar as análises nos discos relacionados.

2) a possível perda de informações sensíveis à investigação - o que pode ser ainda pior quando se trata de uma máquina com volumes (ou o disco inteiro) criptografados por ferramentas como o PGP Full Disk Encryption ou o TrueCrypt.

3) existem também os casos em que a análise de memória é a única alternativa para obtenção de informações úteis sobre o caso. Por exemplo, quando são usadas as interfaces AJAX de Webmails modernos (Google, Yahoo) - as informações sobre os emails lidos/escritos ficam somente em memória, não havendo artefatos úteis no disco, mesmo nas áreas não alocadas.

A última boa comparação sobre ferramentas deste tipo havia sido publicada em junho por Halan Carvey, autor do livro "Windows Forensics Analysis".

Pois bem, ontem mais um ótimo post sobre o assunto - entitulado "Windows Physical Memory: Finding the Right Tool for the Job" - foi publicado no site sobre computer forensics do Sans Institute.

O melhor é que neste último post do Sans, o autor (Johnh Sawyer) citou uma grande variedade de soluções - tanto free / open source, quanto comerciais - que facilitam o trabalho de capturar e analisar os dumps de memória de máquinas - segue a listagem contendo uma tradução livre e alguns comentários meus:

1 - Ferramentas de Aquisição de Memória:

1a - Mandiant Memoryze : boa ferramenta, capaz de fazer o dump de todo o range físico de memória, independente de APIs do Windows, identificação de drivers, hooks e módulos de kernel presentes na memória.

1b - Mantech Memory DD : como o Sawyer colocou, simples e eficiente.

1c - Win32dd - tem a vantagem de exportar também em formato do WinDbg - para posterior análise.

1d - Guidance Winen.exe/winen64.exe - conforme post de junho, a partir da versão 6.11 o Encase Forensic vem com dumpers de memória (32 e 64 bits). A boa notícia para quem não tem a licença/dongle é que o último Live CD Helix inclui o winen.exe

1e - Encase Forensic - possibilita o dump da memória inteira ou de processos específicos (veja)

1f - F-Response - Não faz o dump por si só mas estabelece um canal de comunicação iSCSI com a máquina para uso das outras ferramentas descritas no post.

1g - KNTTools da GMG Systems - este aqui eu não conhecia, Sawyer comenta que não vem sendo atualizado, então provavelmetne não o conheceremos em detalhes..

1h - FastDump da HBGary - excelente ferramentas gratuita que auxiliam o examinador a entender o funcionamento de executáveis (mais voltadas para estudo de malwares).

2 - Ferramentas de Análise de Dumps de Memória:

2a - Volatility - Excelente Framework - escrito em python e gratuito - que - juntamente com seus plugins - facilita em muito a extração de informações críticas aos examinadores forenses (como a passphrase de um sistema com Full Disk Encryption utilizando TrueCrypt..).

2b - Memoryze - da Mandiant, possui o output em XML (o que pode ser ruim se você busca clareza e bom se você precisa integrar com qq coisa que leia XML).

2c - HbGary Responder - considerada por analistas do mercado por muito tempo como a melhor ferramenta no ramo. Pode ser integrada facilmente a versao Enterprise do Encase.

2d - Enscripts para Encase Forensic/Enterprise - (ver figura) - no site de suporte da Guidance existem alguns Enscripts disponíveis para tarefas relacionadas à análise de memória.

PS: Existem várias outras ferramentas interessantes como referência de "memory analysis", como: FATKit, Flypaper da HBGary, Windows Memory Forensics Toolkit (FrameWork), memparser, PmoDump/Truman (FrameWork), WinDbg - a primeira ferramenta a analisar crash dump de memória física no windows (thanks, msuiche), Hibrshell (para análise de arquivos de hibernação windows de Xp a 2008), e KnTools (comercial - ver comentários do post).

PS2: A imagem no início deste post (tradução livre) faz parte do excelente paper "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis" - do Sans Institute (Ago/2008). Os autores deste paper concluem que a Captura/Análise Posterior de Memória tem múltiplos benefícios sobre a resposta à incidentes tradicional em sistemas "vivos" - leitura recomendada.

PS3: Uma outra boa fonte de referência sobre o assunto - que inclui também um estudo com análise de código rodando em máquinas linux e windows - é o livro "Malware Forensics" - de James M. Aquilina, Eoghan Casey e Cameron H. Malin.
Posted by SS at 5/30/2010 11:35:00 PM 8 comments
Labels: , , , , , , , , , , , ,
Subscribe to: Posts (Atom)

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)