viernes, 2 de septiembre de 2016

Volcado de memoria #RAM en #Windows - #OSForensics


Hola secuaces:

Cuando se procede a la recolección de evidencias se hace necesario conocer y seguir una serie de buenas prácticas. Para ello, se dispone de una guía, muy cortita pero muy importante. Se trata de la RFC 3227, que lleva por título “Guidelines for Evidence Collection and Archiving”, (Directrices para la recolección y archivo de la Evidencia). Os recomiendo encarecidamente su lectura.

En el punto 2 - “Guiding Principles during Evidence Collection”, (Principios rectores durante la recolección de evidencia), en su párrafo 11, (el último de ese punto), dice “Proceed from the volatile to the less volatile”, (Proceder desde la volátil a la menos volátil).

Para cumplir esa 'norma', en su punto 2.1 se establece un orden de volatilidad, donde figura la memoria.

En el punto 3.2 - “Collection Steps”, (Pasos de recolección), en su último párrafo, dice “Where feasible you should consider generating checksums andcryptographically signing the collected evidence, as this may make it easier to preserve a strong chain of evidence”, (Cuando sea factible, deberías considerar la generación de checksums y firmar criptográficamente las pruebas recogidas, ya que esto, podría hacer que sea más fácil preservar una fuerte cadena de custodia).

¿Por qué hago referencia a estos puntos? Porque, cuando se recogen evidencias, se hace necesario calcular su huella digital. Y si se realiza esta operación con la misma herramienta con la que se ha recogido la evidencia, mejor que mejor. Aquí es donde entra en juego OSForensics.

Existen decenas de utilidades para realizar el volcado de la memoria, (ya habló el compañero Naxhack5 en su entrada "Análisis Forense II - Adquisición de memoria RAM" de algunas de ellas), y existen algunas más para el cálculo de la firma digital. Una ventaja que tiene OSForensics es que realiza ambas.

Visto esto, entramos en materia.

OSForensics, de PassMark, es una completa suite para el análisis informático forense. Ofrece múltiples funciones y varias herramientas forenses libres, tales como: OSFMount, OSFClone, ImageUSB, etc. Ofrece también la posibilidad de integrarlo con otras herramientas, como Volatility o RegRipper y WinPE.

Cuando pruebo alguna herramienta, me gusta leer el contenido de la página. Los manuales y las FAQ han sido hechas para leerse ;)

¿Cuánto cuesta OSForensics? Mucho, aunque posiblemente sea una de las más asequibles, en lo referente a suites forenses comerciales. Pero dispone de una versión gratuita, eso sí, con limitaciones.

Tras realizar su descarga desde el sitio oficial, procedemos a su instalación, como cualquier otra herramienta de Windows. Con cinco ‘Next’, un ‘Install’, un ‘Next’ y un ‘Finish’.


Tras su instalación, y apertura del programa, se presenta la ventana que nos indica si queremos seguir usando la versión gratuita o si queremos actualizar a la versión profesional. Como soy pobre, le indico que quiero continuar con la versión gratuita.


Si ahora nos vamos al final del menú que hay en el lado izquierdo de la aplicación y clicamos en ‘About’ veremos qué versión estamos usando de este software. (Me gusta comprobar con qué versiones estoy trabajando).


Visto esto, es hora de instalar esta suite en el Dispositivo USB.

Para ello, en el menú de la pantalla principal de la aplicación, nos dirigimos a ‘Install to USB’


Ahora se nos presenta una ventana, donde elegimos el tipo de instalación, el dispositivo, (o la ruta local), y si queremos instalar la versión gratuita o la profesional.


Comienza la copia de la aplicación en la ruta que hayamos elegido y nos comunica que ha terminado satisfactoriamente.


Una vez que ha finalizado, nos dirigimos a la ruta donde se ha realizado la instalación y comprobamos que se ha hecho de forma correcta. (Soy un poco meticuloso).


Estamos listos para actuar. Volvemos a abrir la aplicación, desde el dispositivo externo, y nos dirigimos a ‘Memory Viewer’.


Ahora clicamos en ‘Dump Physical Memory’.


Se nos abrirá una nueva ventana donde debemos elegir el nombre y la ruta del fichero que se va a generar tras el volcado de memoria.


Una vez que le demos a ‘Guardar’ comenzará el volcado en la ruta indicada. Sobra decir que, mientras se realiza el volcado, NO SE TOCA NADA, ¿Verdad?


Una vez que ha finalizado la adquisición de la memoria, verificamos que se ha volcado correctamente.


Comprobada la generación del fichero, procedemos a calcular su firma digital en SHA-1, clicando en “Verify / Create Hash”.


Y cuando finaliza el cálculo del Hash, se nos muestra en pantalla. Ahora, o lo copiamos a un fichero de texto, o realizamos una captura de pantalla. Yo, personalmente, soy muy amigo de las capturas de pantalla.


Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos

No hay comentarios:

Publicar un comentario en la entrada

Google Analytics