Buenas a todos, en el post de hoy de la cadena sobre herramientas forenses volveremos a hablar de la utilidad HxD para analizar otra funcionalidad que nos puede ser de gran utilidad a la hora de analizar la memoria RAM de un equipo.
HxD nos permite entre otras funcionalidades abrir la memoria RAM en caliente, para ello debemos acceder al menú “Extras/Open RAM…”:
Una vez desplegada nos aparecerá una ventana de dialogo en la que deberemos seleccionar uno de los procesos que se encuentran operando. Para el post de hoy hemos seleccionado el navegador firefox:
Firefox carga en memoria una gran cantidad de información durante su procesamiento, como por ejemplo, direcciones URL, correos, etc.
Si buscamos algún correo que alguien haya enviado recientemente desde Firefox seguramente siga en memoria y podremos acceder a su contenido, simplemente debemos buscar un nombre, correo, o algo nos permita localizar rápidamente el mensaje entre la gran cantidad de información:
Pero si hay algún dato que posiblemente nos interese por encima de otros son las contraseñas. Sobretodo si el proceso que estamos monitorizando con HxD no cifra las claves en memoria, como por ejemplo Filezilla, en la que podremos visualizar las contraseñas de una manera rápida y sencilla buscando cadenas como “PasvMode”, “pass”, etc.
Ya sabéis el dicho, “quién tiene una RAM, tiene un tesoro…” ¡no os dejéis las sesiones de Windows desbloqueadas” ;)Saludos!
Otros artículos relacionados
Esto de la informacion en texto plano en la memoria Ram es la Ostia como dicen por alla jajaa Saludos.
ResponderEliminarMe encanta HxD, despues de Winhex es mi favorito para windows...Ademas de que es super liviano, rapido y hasta PORTABLE!! =D
ResponderEliminarLa verdad que sí, y más con herramientas como HxD, que como dice Hecky es portable, y basta pinchar un pendrive con ella y 30 segundillos para localizar la contraseña e irte de rositas :)Saludos!
ResponderEliminarHe empezado a leer la serie hace unos dias, desde el prinicpio evidentemente, y tengo una duda: Parece que una de las premisas del análisis forense es usar aplicaciones lo menos intrusivas posibles, evitando el uso de aquellas que hagan uso de la API del sistema analizado. Pero desde el principio se mencionan aplicaciones nativas de Windows (Systeminfo, netstat, ...). Esto a que es debido? No hay alternativas de terceros?
ResponderEliminarEfectivamente es una premisa, desde la toma de evidencias hasta su análisis posterior. Pero dependiendo del caso y sobretodo de si el forense acabará en juicio o no, se podrán utilizar herramientas más o menos intrusivas. Lo esencial es que sepas en todo momento TODO lo que hacen las aplicaciones que utilizarás, si toca claves del registro, procesos que genera, servicios que pueda parar, APIs con las que interactua, etc. ya que tendrás que demostrar que no alteran las evidencias.Sobre si hay alternativas de terceros a las aplicaciones netstat, systeminfo, etc., hay muchas, en el catálogo de sysinternals encontrarás las más utilizadas.saludos!
ResponderEliminarMuchas gracias. Totalmente aclarada la duda.
ResponderEliminar[...] Buenas a todos, en el post de hoy de la cadena sobre herramientas forenses volveremos a hablar de la utilidad HxD para analizar otra funcionalidad que nos puede ser de gran utilidad a la hora de analizar la memoria RAM de un equipo. [...]
ResponderEliminar[...] Herramientas forense para ser un buen CSI. Parte XVI: HxD y la RAM [...]
ResponderEliminar