Vía blog de Matthieu Suiche me entero de que acaba de liberar una nueva herramienta, SandManShell.
Tal y como anunciaba en la primera parte de su articulo se trataría de una shell interactiva que, utilizando el framework Sandman, desarrollado por él
mismo, permitiría realizar un profundo análisis del fichero de hibernación, hiberfil.sys, o de un fichero de crash dump de Windows, en principio para sistemas de 32 bits.
martes, 23 de diciembre de 2008
Proyecto SandManSHELL
domingo, 21 de diciembre de 2008
Analizando volcados de memoria: MANDIANT Memorize
Una de sus utilidades, que ya mencioné en una entrada anterior, es la de volcar el contenido de la memoria física en un fichero con formato raw, de forma que ésta pueda ser analizada con posterioridad. Por otra parte también puede realizarse el análisis de un sistema en ejecución, previa instalación del programa en el sistema objeto del análisis.
Según sus creadores, Memorize soporta los siguientes sistemas, todos ellos en sus versiones de 32 bits:
- Windows 2000 Service Pack 4
- Windows XP Service Pack 2 y Service Pack 3
- Windows 2003 Service Pack 2
lunes, 15 de diciembre de 2008
Análisis de un volcado de memoria: mfinder
Prácticamente acabo de terminar de programar una herramienta, mfinder, que permite listar los procesos encontrados durante el análisis de un fichero de volcado de la memoria física de un sistema Windows 2000.
Está basada en PTfinder, un script de perl desarrollado por Andreas Schuster y que, además de ejecutarse mucho más rapido, admite más opciones. Por supuesto, para adaptar el algoritmo utilizado en el script original cuento con el beneplácito de Andreas, el cual se ha ofrecido incluso a publicitar mi herramienta en su blog. ¡Gracias Andreas!
martes, 9 de diciembre de 2008
Una de papers
Navegando por la red he encontrado algunos documentos muy interesantes que me gustaría compartir con todos vosotros. Son de temática variada pero predominan aquellos relacionados con el análisis de la memoria de los sistemas Windows, tema que espero poder tratar en breve.