Forensics in Spanish
Pasos de Análisis Forense Jan 19 2007 12:01AM
abraham Lizardo (qlalizardo hotmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 19 2007 12:41PM
Román Ramírez (rramirez chasethesun es) (1 replies)
Re: Pasos de Análisis Forense Jan 20 2007 11:09PM
Flavio, el HdP (flaviohdp gmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 23 2007 07:50AM
Javier García (jgmarec gmail com)
Según mis conocimientos , cuando se hiberna el sistema operativo, la
máquina, además de guardar toda la información que tiene en memoria al disco
duro, también escribe otra información en memoria para que el ordenador se
apague. Esta información, no corrompería la información de la memoria RAM
que se quiere guardar, invalidando esta prueba?

On 1/21/07, Flavio, el HdP <flaviohdp (at) gmail (dot) com [email concealed]> wrote:
>
> Con respecto a la Preservación de Evidencia Volátil, específicamente RAM
> (también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser
> preservada) :
>
> Primero : Actualmente, el volcado de memoria *SI *proporciona mucha
> información importante, especialmente ahora que las memorias son baratas, y
> la mayoría de las personas usa un mínimo de 512 megas, lo que permite
> recuperar páginas no reemplazadas de hasta *horas* anteriores, como lo
> pude demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina,
> Perú y Bolivia.. inclusive ver lo que se copió a un flash un rato antes,
> para saber si alguien se sacó información confidencial...
>
> Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un
> programa que me haga un volcado, obligadamente necesita instalarse en RAM,
> lo que jode un parte de la Evidencia (aunque es pequeña, el principio de
> Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar
> solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de
> los S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela
> inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco
> duro, se hace una Imagen del Disco completo, y luego se la analiza
> adecuadamente. TODO lo que estaba en RAM bajó al disco.
> Tercero : Este método permite además levantar nuevamente el equipo
> (despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias
> mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia
> (HDD + RAM) preservada correctamente.
>
> Un saludo,
>
> Flavio.-
>
>
> El día 19/01/07, Román Ramírez <rramirez (at) chasethesun (dot) es [email concealed]> escribió:
> >
> >
> > > PASO 1
> > > - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o
> > respaldo)
> > > de dicha memoria.
> >
> > Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido
> > a un volcado de memoria y en el caso de que lo hicieras estaríamos
> > hablando de que estarías corrompiendo la escena del crimen para obtener
> > una imagen de la memoria o de los procesos (has de hacerlo en caliente).
> >
> > Este tipo de evidencias volátiles tienen una utilidad mínima (más aún
> > teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
> > de los ficheros de intercambio o del swap).
> >
> >
> > > Software, Programa o Herramienta Sugerida:
> >
> > Si vas a hacerlo mira pcat para unix y/o las herramientas de
> > sysinternals en Microsoft.
> >
> >
> > > - Para el análisis del sistema de archivos, obtener las particiones
> > del
> > > disco duro.
> > > Software, Programa o Herramienta Sugerida:
> >
> > dd, Encase,...
> >
> >
> > > - Una vez obtenido lo anterior sacar una huella digital de dichos
> > archivos
> > > para garantizar la integridad de la información que será manipulada
> > durante
> > > la investigación.
> > > Software, Programa o Herramienta Sugerida:
> >
> > md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
> >
> > segundo con la excusa de las colisiones) o emplea un hash más potente
> > como sha256 o hmac.
> >
> >
> >
> > > PASO 2
> > > - Ya analizada la memoria, hacer una análisis general del Sistema
> > > Operativo(SO) recopilando horas de acceso SO, últimos paquetes
> > instalados,
> > > archivos ocultos, procesos no identificados, etcétera. Aquí la revista
> > > sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y
> > verificar que
> > > las herramientas no hayan sido afectadas, aunque no menciona como
> > hacer la
> > > verificación.
> >
> > Esto son evidencias volátiles, volvemos al problema del análisis en
> > caliente. No se justifica (a no ser que exista algún requisito legal que
> > desconozca en tu país).
> >
> > Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
> > una herramienta pobre).
> >
> >
> > > PASO 3
> > >
> > > - Análisis de la memoria RAM para ver el detalle de las acciones
> > realizadas
> > > por el atacante, la explicación es muy escueta y no ofrece precisiones
> > de
> > > cómo hacer el análisis.
> > > Software, Programa o Herramienta Sugerida:
> >
> > gdb, idapro, ollydbg
> >
> >
> >
> >
> >
> > Saludos
> >
>
>
Según mis conocimientos , cuando se hiberna el sistema operativo, la máquina, además de guardar toda la información que tiene en memoria al disco duro, también escribe otra información en memoria para que el ordenador se apague. Esta información, no corrompería la información de la memoria RAM que se quiere guardar, invalidando esta prueba?
<br><br><br><div><span class="gmail_quote">On 1/21/07, <b class="gmail_sendername">Flavio, el HdP</b> <<a href="mailto:flaviohdp (at) gmail (dot) com [email concealed]">flaviohdp (at) gmail (dot) com [email concealed]</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>Con respecto a la Preservación de Evidencia Volátil, específicamente RAM (también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser preservada) :</div>
<div> </div>
<div>Primero :  Actualmente, el volcado de memoria  <strong>SI </strong>proporciona mucha información importante, especialmente ahora que las memorias son baratas, y la mayoría de las personas usa un mínimo de 512 megas, lo que permite recuperar páginas no reemplazadas de hasta
<strong>horas</strong> anteriores, como lo pude demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina, Perú y Bolivia.. inclusive ver lo que se copió a un flash un rato antes, para saber si alguien se sacó información confidencial...
</div>
<div> </div>
<div>Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un programa que me haga un volcado, obligadamente necesita instalarse en RAM, lo que jode un parte de la Evidencia (aunque es pequeña, el principio de Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de los
S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco duro, se hace una Imagen del Disco completo, y luego se la analiza adecuadamente. TODO lo que estaba en RAM bajó al disco.
</div>
<div>Tercero : Este método permite además levantar  nuevamente el equipo (despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia (HDD + RAM) preservada correctamente.
</div>
<div> </div>
<div>Un saludo,</div>
<div> </div>
<div>Flavio.-</div><br><br>
<div><span class="gmail_quote">El día 19/01/07, <b class="gmail_sendername">Román Ramírez</b> <<a href="mailto:rramirez (at) chasethesun (dot) es [email concealed]" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">rramirez (at) chasethesun (dot) es [email concealed]
</a>> escribió:</span>
<div><span class="e" id="q_1104b096023a1463_1"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0px 0px 0px 0.8ex; padding-left: 1ex;"><br>> PASO 1<br>> - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo)
<br>> de dicha memoria.
<br><br>Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido<br>a un volcado de memoria y en el caso de que lo hicieras estaríamos<br>hablando de que estarías corrompiendo la escena del crimen para obtener
<br>una imagen de la memoria o de los procesos (has de hacerlo en caliente).<br><br>Este tipo de evidencias volátiles tienen una utilidad mínima (más aún<br>teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
<br>de los ficheros de intercambio o del swap).<br><br><br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>Si vas a hacerlo mira pcat para unix y/o las herramientas de<br>sysinternals en Microsoft.<br>
<br>
<br>> - Para el análisis del sistema de archivos, obtener las particiones del<br>> disco duro.<br>>          
;   Software, Programa o Herramienta Sugerida:<br><br>dd, Encase,...<br><br><br>> - Una vez obtenido lo anterior sacar una huella digital de dichos archivos
<br>> para garantizar la integridad de la información que será manipulada durante<br>> la investigación.<br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
<br>segundo con la excusa de las colisiones) o emplea un hash más potente<br>como sha256 o hmac.<br><br><br><br>> PASO 2<br>> - Ya analizada la memoria, hacer una análisis general del Sistema<br>> Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados,
<br>> archivos ocultos, procesos no identificados, etcétera. Aquí la revista<br>> sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que<br>> las herramientas no hayan sido afectadas, aunque no menciona como hacer la
<br>> verificación.<br><br>Esto son evidencias volátiles, volvemos al problema del análisis en<br>caliente. No se justifica (a no ser que exista algún requisito legal que<br>desconozca en tu país).<br><br>Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
<br>una herramienta pobre).<br><br><br>> PASO 3<br>><br>> - Análisis de la memoria RAM para ver el detalle de las acciones realizadas<br>> por el atacante, la explicación es muy escueta y no ofrece precisiones de
<br>> cómo hacer el análisis.<br>>         &
nbsp;   Software, Programa o Herramienta Sugerida:<br><br>gdb, idapro, ollydbg<br><br><br><br><br><br>Saludos<br></blockquote></span></div></di
v><br>

</blockquote></div><br>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus