PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS
ANÁLISE DE MEMÓRIA RAM Definições Vantagens Processos: Extração Análise Tipos de Análise Análise Visual vs Análise Binária Exercícios
DEFINIÇÕES MEMÓRIA RAM: A memória RAM, sigla para Random Access Memory (Memória de Acesso Aleatório), é a responsável por armazenar informações para acesso rápido do processador. Como seu próprio nome já diz, a memória RAM tem como principal característica permitir o acesso direto a qualquer um dos endereços disponíveis, e é essa característica que a faz ser mais rápida do que um HD (Hard Disk), diminuindo o tempo de resposta para o processador.
DEFINIÇÕES FUNCIONAMENTO: Quando um programa é executado, ele é lido da mídia de armazenamento (HD, Pen Drive, etc...), e então transferido para a memória RAM. O processador busca todas as informações necessárias para a execução daquele programa diretamente da memória. Este tipo de memória possui a desvantagem de que, por ser uma memória do tipo volátil, quando a máquina é desligada, dados contidos nela são perdidos*.
DEFINIÇÕES ESTRUTURA BÁSICA DE MEMÓRIA: Similarmente aos filesystems, memórias trabalham com blocos, conhecidos como páginas. O tamanho de cada página será determinado pela arquitetura de processador. Como exemplo, a arquitetura Intel para PC de 32 e 64 bits utiliza páginas com 4 KB de tamanho. Geralmente, o conteúdo das páginas é controlado pelo processo que as utiliza.
DEFINIÇÕES PORQUE É IMPORTANTE: PROFILES! Cada versão de sistema operacional tem uma organização própria dentro da memória. Ex: OSForensics...
DEFINIÇÕES ARQUIVOS DE SWAP E DE HIBERNAÇÃO: O swap, juntamente com a RAM, compõe a memória virtual. Processamentos só ocorrem na RAM! O swap só é utilizado quando: Não há mais RAM disponível. Há hibernação habilitada (no Linux). Um swap utilizado poderá conter informações preciosas. O arquivo de hibernação é uma cópia da RAM. No MS Windows temos os arquivos pagefile.sys (swap menos frequente), hiberfil.sys (hibernação) e o novo swapfile.sys (swap frequente).
VANTAGENS Menor quantidade de dados (GB x TB) Possível obter dados sobre: Processos Arquivos abertos Conteúdo Registro do Windows Conexões de rede ativas Senhas e chaves criptográficas Códigos maliciosos (malwares, rootkits, etc)
PROCESSOS EXTRAÇÃO OU DUMP: Processo de geração de imagem. GNU/Linux e Android: LiME, dd etc. Windows: DumpIt, Forensics Frameworks etc. MAC OS X: OSXPMem etc. ANÁLISE: Processo de Análise/Investigação da imagem. Pode ser estática ou dinâmica.
TIPOS DE ANÁLISE ANÁLISE ESTÁTICA DE MEMÓRIA: Processo de análise efetuada em uma fotografia da memória. GNU/Linux e Android, Windows e MAC OS X: Visualizador de arquivos binários, Volatility ANÁLISE DINÂMICA DE MEMÓRIA: Análise realizada em processos em execução para identificação de comportamento. GNU/Linux e Android, Windows e MAC OS X: Debuggers
ANÁLISE VISUAL VS ANÁLISE BINÁRIA ANÁLISE VISUAL: A análise visual depende da criatividade e persistência. Muitas vezes é baseada em palavras chave. Poderá ser feita a partir de qualquer dump, mesmo que este tenha sido obtido a partir de uma máquina inicialmente desligada. É possível periciar arquivos de swap e hibernação. Ferramentas como strings, egrep e mcview facilitam o processo.
ANÁLISE VISUAL VS ANÁLISE BINÁRIA ANÁLISE BINÁRIA: Com a análise binária é possível obter diversos dados sobre o sistema operacional, como processos ativos, conexões de rede, usuários logados, além da extração de arquivos diretamente da memória. A análise binária só será possível se o dump de memória for feito a partir da máquina ligada e tendo sido operada pelo suspeito. Também é possível analisar arquivos de hibernação.
EXERCÍCIO WINDOWS EXTRAÇÃO/DUMPING Instalando DumpIt: Windows: Download: http://www.moonsols.com/resources/
EXERCÍCIO WINDOWS ANÁLISE Instalando volatility: Windows: Download standalone: http://www.volatilityfoundation.org/ Releases ou Volatility 2.5 Windows Python Module Installer
EXERCÍCIO WINDOWS ANÁLISE Determinando Profile: Imageinfo kdbgscan Comandos: pslist cmdscan netscan clipboard
EXERCÍCIO LINUX EXTRAÇÃO/DUMPING Instalando lime: Linux apt-get install lime-forensics-dkms
EXERCÍCIO LINUX ANALISE Instalando volatility: Linux apt-get install volatility ou https://github.com/volatilityfoundation/volatility
EXERCÍCIO PLUGINS Plugins ------- apihooks - Detect API hooks in process and kernel memory atoms - Print session and window station atom tables atomscan - Pool scanner for atom tables auditpol - Prints out the Audit Policies from HKLM\SECURITY\Policy\PolAdtEv bigpools - Dump the big page pools using BigPagePoolScanner bioskbd - Reads the keyboard buffer from Real Mode memory
PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS