domingo, 22 de marzo de 2009

Análisis de un caso ¿real?

Todos los personajes, lugares, acciones y conversaciones narradas a continuación no son reales, existen o han tenido lugar en otro sitio que no sea la imaginación del que suscribe estas líneas, el cual no se siente responsable de las opiniones, reacciones o ideas vertidas, pues, a fín de cuentas, suceden únicamente en su ficción, ¿o tal vez no?

Leer más...

miércoles, 18 de marzo de 2009

Tuneando Volatility

Ya todos conocemos el framework Volatility, un potentísima herramienta que permite el análisis de volcados de memoria de sistemas Windows XP (32bits) Service Pack 2 y 3. También sabemos de la existencia de numerosos plugins que extienden su funcionalidad añadiéndole nuevas y potentes características.

Pues bién, de eso trata este artículo, de los plugins disponibles y el proceso de instalación de los mismos así como intentar centralizar la información referente a cada uno de ellos.

Leer más...

domingo, 8 de marzo de 2009

RegRipper

En la última entrada vimos como en este momento ya es posible ejecutar Volatility y RegRipper de forma combinada, permitiendo así obtener gran cantidad de información relacionada con las claves del registro cargadas en memoria. Ha llegado el momento de analizar la funcionalidad ofrecida por RegRipper como herramienta independiente.

Esta herramienta, desarrollada por Harlan Carvey, permite parsear diferentes claves del registro de forma offline, mostrando los resultados en un formato comprensible y que puede ser integrado de forma sencilla con el resto de informes generados durante una investigación forense de un sistema Windows.

Leer más...

lunes, 2 de marzo de 2009

Volatility y RegRipper, ¡juntos!

Acabo de enterarme hoy de la noticia, y como no, tenía que probarlo por mí mismo. Creo que conocemos de sobra el framework Volatility, pero para los que no lo conozcan decir que se trata de un entorno de análisis escrito en Python que permite examinar volcados de la memoria de Windows en formato raw.

El otro componente del tándem es RegRipper, del que todavía no hemos hablado nada pero del que estoy preparando un artículo que espero tener listo muy pronto. A modo de resumen decir que se trata de un script en perl desarrollado por Harlan Carvey que facilitará el análisis del registro de Windows de forma offline.

Ahora imaginad que juntamos las capacidades de ambos, ¡podríamos analizar y obtener información de las diferentes claves del registro contenidas en una imagen de la memoria de un sistema Windows!

Pues bien, gracias a Brendan Dolan-Gavitt (aka Moyix), esto ya es posible. Indicar que yo no he descubierto nada, unicamente me he limitado a probarlo y contarlo a lo largo de estas lineas. Para obtener detalles técnicos acerca del proceso y las modificaciones en el código necesarias recomiendo leer detenidamente el artículo original.

Leer más...