martes, 23 de diciembre de 2008

Proyecto SandManSHELL

Vía blog de Matthieu Suiche me entero de que acaba de liberar una nueva herramienta, SandManShell.

Tal y como anunciaba en la primera parte de su articulo se trataría de una shell interactiva que, utilizando el framework Sandman, desarrollado por él
mismo, permitiría realizar un profundo análisis del fichero de hibernación, hiberfil.sys, o de un fichero de crash dump de Windows, en principio para sistemas de 32 bits.

Leer más...

domingo, 21 de diciembre de 2008

Analizando volcados de memoria: MANDIANT Memorize

Una de sus utilidades, que ya mencioné en una entrada anterior, es la de volcar el contenido de la memoria física en un fichero con formato raw, de forma que ésta pueda ser analizada con posterioridad. Por otra parte también puede realizarse el análisis de un sistema en ejecución, previa instalación del programa en el sistema objeto del análisis.

Según sus creadores, Memorize soporta los siguientes sistemas, todos ellos en sus versiones de 32 bits:

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2 y Service Pack 3
  • Windows 2003 Service Pack 2

Leer más...

lunes, 15 de diciembre de 2008

Análisis de un volcado de memoria: mfinder

Prácticamente acabo de terminar de programar una herramienta, mfinder, que permite listar los procesos encontrados durante el análisis de un fichero de volcado de la memoria física de un sistema Windows 2000.

Está basada en PTfinder, un script de perl desarrollado por Andreas Schuster y que, además de ejecutarse mucho más rapido, admite más opciones. Por supuesto, para adaptar el algoritmo utilizado en el script original cuento con el beneplácito de Andreas, el cual se ha ofrecido incluso a publicitar mi herramienta en su blog. ¡Gracias Andreas!

Leer más...

martes, 9 de diciembre de 2008

Una de papers

Navegando por la red he encontrado algunos documentos muy interesantes que me gustaría compartir con todos vosotros. Son de temática variada pero predominan aquellos relacionados con el análisis de la memoria de los sistemas Windows, tema que espero poder tratar en breve.

Leer más...

domingo, 30 de noviembre de 2008

Ocultación de procesos en Windows: DKOM

DKOM (Direct Kernel Object Manipulation) es una técnica que, basándose en el acceso al espacio de memoria del kernel, nos vá a permitir modificar el estado de los objetos del sistema. En concreto, nos vá a permitir:

  • Ocultar procesos, drivers o puertos.
  • Elevar el nivel de privilegio de un hilo y por tanto del proceso al que pertenece.
  • Dificultar el análisis forense del sistema.

En esta entrada vamos a centrarnos en la ocultación de procesos, y para ello analizaremos una prueba de concepto que he desarrollado con dicha finalidad, dkomdriver. Para programarlo he consultado diferentes fuentes de información las cuales incluyo en el apartado de bibliografía.

Leer más...

sábado, 22 de noviembre de 2008

Procesos e hilos de ejecución en Windows (II)

Voy a retomar el argumento de la primera entrada para centrarme, en este caso, en el objeto _EPROCESS (bloque ejecutivo de proceso) manejado por el kernel del sistema. Tal y como mencioné, se trata de la forma que tiene Windows de agrupar toda la información y recursos necesarios asociados con un proceso.

Analizaremos, utilizando la herramienta WinDbg la cual se incluye con las Microsoft Debugging Tools, los datos que conforman la estructura _EPROCESS y mencionaremos el significado de algunos de los más importantes. Todos los valores para los offsets incluidos aquí son particulares de un sistema Windows XP SP2, y esto es relevante dado que muchos de ellos variarán de una versión de Windows a otra, e incluso de un Service Pack a otro.

Leer más...

miércoles, 12 de noviembre de 2008

Volcados de la memoria física desde Windows

En este artículo vamos a dar un breve repaso a los diferentes métodos que existen actualmente para, mediante recursos software, obtener volcados de la memoria física en sistemas Windows. En una futura entrada veremos las herramientas disponibles para analizar cada uno de los tipos de volcados obtenidos.

Leer más...

miércoles, 5 de noviembre de 2008

Live View: arrancando un fichero de imagen

Live View es una herramienta utilísima, con un interfaz gráfico basado en java. Nos permite, a partir de una imagen en formato raw (un fichero obtenido mediante dd, por ejemplo), crear los ficheros de configuración necesarios para arrancar el sistema contenido en la imagen como una máquina virtual de vmware.

Leer más...

miércoles, 22 de octubre de 2008

Herramientas para el listado de procesos

Ahora que ya conocemos un poco más el funcionamiento interno de los procesos en Windows y como guía durante un análisis en caliente de un sistema, acotaremos los datos más importantes a obtener para cada uno de ellos.

Leer más...

miércoles, 15 de octubre de 2008

Procesos e hilos de ejecucion en Windows (I)

Podemos definir un proceso como una instancia para un programa en ejecución, e instancia es la palabra adecuada dado que, como la mayoría de elementos en Windows, para el kernel o núcleo del sistema un proceso no es más que un tipo de objeto determinado.

Leer más...

martes, 14 de octubre de 2008

Listado de procesos en ejecución: psinfo

Relacionado con el análisis online, también conocido como análisis en caliente, de un sistema Windows estaría la capacidad de listado de los procesos en ejecución.

Leer más...

Disponible Helix 2

Después de algún tiempo sin actualizarla e-fense acaba de liberar la versión 2 (2008 Release 1) de este famoso LiveCD indicado para las siguientes áreas:

  • Incident Response
  • Electronic Discovery
  • Computer Forensic

Leer más...

Abriendo las puertas

Bueno, por fín me he decidido a escribir en mi propio blog. Trataré de incluir en él de forma más o menos periódica cualquier nuevo descubrimiento, noticia o experimento relacionado principalmente con el análisis forense digital y la respuesta ante incidentes.

Cualquier aporte y/o sugerencia será bienvenido, sobre todo teniendo en cuenta que estamos aquí para aprender, y desde luego yo el primero.

Leer más...