martes, 23 de diciembre de 2008

Proyecto SandManSHELL

Vía blog de Matthieu Suiche me entero de que acaba de liberar una nueva herramienta, SandManShell.

Tal y como anunciaba en la primera parte de su articulo se trataría de una shell interactiva que, utilizando el framework Sandman, desarrollado por él
mismo, permitiría realizar un profundo análisis del fichero de hibernación, hiberfil.sys, o de un fichero de crash dump de Windows, en principio para sistemas de 32 bits.

Leer más...

domingo, 21 de diciembre de 2008

Analizando volcados de memoria: MANDIANT Memorize

Una de sus utilidades, que ya mencioné en una entrada anterior, es la de volcar el contenido de la memoria física en un fichero con formato raw, de forma que ésta pueda ser analizada con posterioridad. Por otra parte también puede realizarse el análisis de un sistema en ejecución, previa instalación del programa en el sistema objeto del análisis.

Según sus creadores, Memorize soporta los siguientes sistemas, todos ellos en sus versiones de 32 bits:

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2 y Service Pack 3
  • Windows 2003 Service Pack 2

Leer más...

lunes, 15 de diciembre de 2008

Análisis de un volcado de memoria: mfinder

Prácticamente acabo de terminar de programar una herramienta, mfinder, que permite listar los procesos encontrados durante el análisis de un fichero de volcado de la memoria física de un sistema Windows 2000.

Está basada en PTfinder, un script de perl desarrollado por Andreas Schuster y que, además de ejecutarse mucho más rapido, admite más opciones. Por supuesto, para adaptar el algoritmo utilizado en el script original cuento con el beneplácito de Andreas, el cual se ha ofrecido incluso a publicitar mi herramienta en su blog. ¡Gracias Andreas!

Leer más...

martes, 9 de diciembre de 2008

Una de papers

Navegando por la red he encontrado algunos documentos muy interesantes que me gustaría compartir con todos vosotros. Son de temática variada pero predominan aquellos relacionados con el análisis de la memoria de los sistemas Windows, tema que espero poder tratar en breve.

Leer más...