9 ene 2013

Herramientas forense para ser un buen CSI. Parte XVI: HxD y la RAM

Buenas a todos, en el post de hoy de la cadena sobre herramientas forenses volveremos a hablar de la utilidad HxD para analizar otra funcionalidad que nos puede ser de gran utilidad a la hora de analizar la memoria RAM de un equipo.clip_image002HxD nos permite entre otras funcionalidades abrir la memoria RAM en caliente, para ello debemos acceder al menú “Extras/Open RAM…”:clip_image004Una vez desplegada nos aparecerá una ventana de dialogo en la que deberemos seleccionar uno de los procesos que se encuentran operando. Para el post de hoy hemos seleccionado el navegador firefox:clip_image006Firefox carga en memoria una gran cantidad de información durante su procesamiento, como por ejemplo, direcciones URL, correos, etc.clip_image008Si buscamos algún correo que alguien haya enviado recientemente desde Firefox seguramente siga en memoria y podremos acceder a su contenido, simplemente debemos buscar un nombre, correo, o algo nos permita localizar rápidamente el mensaje entre la gran cantidad de información:clip_image010Pero si hay algún dato que posiblemente nos interese por encima de otros son las contraseñas. Sobretodo si el proceso que estamos monitorizando con HxD no cifra las claves en memoria, como por ejemplo Filezilla, en la que podremos visualizar las contraseñas de una manera rápida y sencilla buscando cadenas como “PasvMode”, “pass”, etc.clip_image012Ya sabéis el dicho, “quién tiene una RAM, tiene un tesoro…” ¡no os dejéis las sesiones de Windows desbloqueadas” ;)Saludos!

8 comentarios:

  1. Esto de la informacion en texto plano en la memoria Ram es la Ostia como dicen por alla jajaa Saludos.

    ResponderEliminar
  2. Me encanta HxD, despues de Winhex es mi favorito para windows...Ademas de que es super liviano, rapido y hasta PORTABLE!! =D

    ResponderEliminar
  3. La verdad que sí, y más con herramientas como HxD, que como dice Hecky es portable, y basta pinchar un pendrive con ella y 30 segundillos para localizar la contraseña e irte de rositas :)Saludos!

    ResponderEliminar
  4. He empezado a leer la serie hace unos dias, desde el prinicpio evidentemente, y tengo una duda: Parece que una de las premisas del análisis forense es usar aplicaciones lo menos intrusivas posibles, evitando el uso de aquellas que hagan uso de la API del sistema analizado. Pero desde el principio se mencionan aplicaciones nativas de Windows (Systeminfo, netstat, ...). Esto a que es debido? No hay alternativas de terceros?

    ResponderEliminar
  5. Efectivamente es una premisa, desde la toma de evidencias hasta su análisis posterior. Pero dependiendo del caso y sobretodo de si el forense acabará en juicio o no, se podrán utilizar herramientas más o menos intrusivas. Lo esencial es que sepas en todo momento TODO lo que hacen las aplicaciones que utilizarás, si toca claves del registro, procesos que genera, servicios que pueda parar, APIs con las que interactua, etc. ya que tendrás que demostrar que no alteran las evidencias.Sobre si hay alternativas de terceros a las aplicaciones netstat, systeminfo, etc., hay muchas, en el catálogo de sysinternals encontrarás las más utilizadas.saludos!

    ResponderEliminar
  6. Muchas gracias. Totalmente aclarada la duda.

    ResponderEliminar
  7. [...] Buenas a todos, en el post de hoy de la cadena sobre herramientas forenses volveremos a hablar de la utilidad HxD para analizar otra funcionalidad que nos puede ser de gran utilidad a la hora de analizar la memoria RAM de un equipo.  [...]

    ResponderEliminar
  8. [...] Herramientas forense para ser un buen CSI. Parte XVI: HxD y la RAM [...]

    ResponderEliminar