martes, 9 de diciembre de 2008

Una de papers

Navegando por la red he encontrado algunos documentos muy interesantes que me gustaría compartir con todos vosotros. Son de temática variada pero predominan aquellos relacionados con el análisis de la memoria de los sistemas Windows, tema que espero poder tratar en breve.

En rootkit.com acaban de publicar un artículo, Interrupt Descriptor table explained, en el cual se analiza el formato interno de la IDT en Windows, una tabla que contiene manejadores para las interrupciones generadas en el sistema ya sea por aplicaciones o controladores de dispositivos (aka drivers).

Mathieu Suiche, de sobra conocido por ser el creador de herramientas tales como win32dd o del framework Sandman, además de colaborar en el desarrollo de volatility, acaba de liberar un pdf con el contenido de su charla para la Europol High Tech Crime Expert Meeting de 2008, y cuyo título resulta ya de por sí muy sugerente: Exploiting Windows Hibernation - The Chuck Norris Ninjutsu.

Por otra parte, y con una temática radicalmente opuesta, podemos encontrar en Forensic Focus un documento analizando el uso de máquinas virtuales para el análisis forense de sistemas, ya sea como herramienta de ayuda o como objetivo del análisis. El título, A Discussion of Virtual Machines Related to Forensics Analysis.

Por último, y aunque no menos importante, voy a hacer una breve reseña al DFRWS. Se trata de una serie de conferencias anuales que son el máximo referente en lo que respecta a los avances en el campo del análisis forense de la memoria de sistemas comprometidos. De forma paralela a las conferencias se organiza un challenge o desafío que permite poner a prueba los conocimientos de los participantes, asi como potenciar la investigacion y el desarrollo de nuevas herramientas. Sin duda su archivo resultará una fuente de documentacion nada despreciable.

Y eso es todo de momento, en breve más.