31 oct 2013

Herramientas forense para ser un buen CSI. Parte XXXIX: BSOD con Not MyFault

Buenas a todos, muchas son las tan amadas "Blue Screen of Death" (BSOD) que os hemos mostrado a lo largo de los últimos años en nuestra cadena "Pantalla Pública", pero en el post de hoy no venimos a jactarnos de ellas sino que veremos cómo forzarlas con la intención lícita de volcar la memoria RAM durante un análisis forense.
Para esta curiosa tarea vamos a emplear una herramienta de Sysinternals: NotMyFault, la cual podéis descargar desde el siguiente enlace:
Con NotMyFaul podremos simular un error a través de un driver provocando un volcado completo de la memoria.Una vez descargada veremos dos versiones de la herramienta en función de nuestra arquitectura (32 ó 64 bits), si la ejecutamos nos encontraremos con la siguiente pantalla:En ella podremos seleccionar el tipo de error que nos gustaría simular.Además, podremos seleccionar el color del texto y del fondo, por si ya nos hemos cansado de los tan típicos pantallazos azules, y preferimos disfrutar de un color nuevo: Yo cómo soy un amante de los clásicos, seguiré con el color azul :)Una vez seleccionados los valores adecuados pulsaremos sobre el botón "Crash", y arrancará el apocalipsis en tu PC: Y en la pantalla, si aún no hemos sido cegados por el fondo azulado, veremos como se está dumpeando la memoria RAM del equipo:
A problem has been detected and windows has been shut down to prevent damageto your computer.DRIVERS_IRQL_NOT_LESS_OR_EQUAL...Dumping physical memory to disk: 100
Ahora, con el equipo apagado y para no alterar las pruebas, podremos clonar el disco duro bit-a-bit y analizar posteriormente en la imagen del disco el fichero %systemroot%\MEMORY.DMP.Para analizarlo podéis tirar de Volatility, del que ya os hemos hablado largo y tendido en Flu Project :)
Nos vemos en el siguiente post,
Saludos!  

No hay comentarios:

Publicar un comentario