Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de...
Transcript of Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de...
![Page 1: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/1.jpg)
Manuel Santander
Análisis forense a partir de
recuperación de evidencias
en memoria
![Page 2: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/2.jpg)
2
Agenda
• Introducción
• La Organización de Información en memoria
• Adquisición de evidencia
• Demostración
• Conclusiones
• Preguntas y Comentarios
![Page 3: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/3.jpg)
3
Introducción
• Evidencia electrónica
• Sofisticación de técnicas de delitos informáticos
• No escritura en los medios de almacenamiento
• Apagado del equipo para análisis post-mortem
![Page 4: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/4.jpg)
4
Introducción
• Se hace necesario utilizar evidencia volátil para investigaciones
• Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco
• Rootkits y máquinas zombi
![Page 5: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/5.jpg)
5
Introducción
![Page 6: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/6.jpg)
6
La organización de la información en
memoria
CodeSegment
Data Segment
HeapSegment
Código ejecutado por el programa en el procesador
Datos utilizados por el programa
Datos almacenados por ablocaciónde memoria dinámica
![Page 7: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/7.jpg)
7
La organización de la información en
memoria
CodeSegment
Módulos camuflados con código malicioso objeto de investigación
![Page 8: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/8.jpg)
8
La organización de la información en
memoria
Data Segment
HeapSegment
Datos que están utilizando los programas objeto de investigación
![Page 9: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/9.jpg)
9
La organización de la información en
memoria
![Page 10: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/10.jpg)
10
La organización de la información en
memoria
![Page 11: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/11.jpg)
11
La organización de la información en
memoria
![Page 12: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/12.jpg)
12
Adquisición de la evidencia
• Objeto \\.\PhysicalMemory y \\.\Debugmemory en Windows
• /proc/kcore en Linux
• /dev/kmem en Solaris
• Dump completo de los procesos y datos en memoria
![Page 13: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/13.jpg)
13
Adquisición de la evidencia
• Forensic Acquisition Utilitiesfor Windows (http://www.gmgsystemsinc.com/fau/)
• Solaris Memory Dump(http://docsun.cites.uiuc.edu/sun_docs/C/solaris_9/SUNWdev/MODDEBUG/p18.html)
![Page 14: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/14.jpg)
14
Adquisición de la evidencia
![Page 15: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/15.jpg)
15
Demostración
![Page 16: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/16.jpg)
16
Conclusiones
• La memoria tiene datos que en ataques modernos no van a pasar por el disco duro, lo cual brinda evidencia invaluable.
• Los datos de la memoria son parte fundamental en la correlación de eventos para la fundamentación de un caso.
![Page 17: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/17.jpg)
17
Conclusiones
• Debe prestarse especial atención a la captura de evidencia para no alterar integridad del disco o la información residente en memoria
• Especial para la comprobación de rootkitsy software malicioso
![Page 18: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/18.jpg)
18
Preguntas?Preguntas?
![Page 19: Análisis forense a partir de recuperación de evidencias en ......Análisis forense a partir de recuperación de evidencias en memoria. 2 Agenda ... malicioso objeto de investigación.](https://reader035.fdocuments.ec/reader035/viewer/2022063018/5fdce27934ffe7485d2b3ea9/html5/thumbnails/19.jpg)
19
¡¡Muchas Gracias!Muchas Gracias!
Manuel Humberto Santander PelManuel Humberto Santander PelááezezUnidad Soluciones de Infraestructura y Soporte de Unidad Soluciones de Infraestructura y Soporte de
ServiciosServiciosSubdirecciSubdireccióón de Tecnologn de Tecnologíía de Informacia de Informacióónn
Empresas PEmpresas Púúblicas de Medellblicas de Medellíín n E.S.PE.S.P..ee--mail: mail: [email protected]@eeppm.com