Jednym z elementów analizy systemu (po incydencie) jest analiza pamięci fizycznej. Problemem jest oczywiście zdobycie obrazu tej pamięci. Kiedyś można było zdobyć go bezpośrednio nawet za pomocą narzędzia dd przy czym a samą pamięć można było odczytywać z \Device\PhysicalMemory. To się jednak zmieniło. W ostatnich dniach pojawiło się jednak kilka narzędzi, które na uzyskanie obrazu pamięci pozwalają.
Pamięć do pliku, czyli jak żyć bez \Device\PhysicalMemory
Po pierwsze w skład EnCase weszło skład narzędzie WinEn, które potrafi zrzucić pamięć fizyczną do pliku.
Po drugie pojawiło się narzędzie mdd (tu i tu). Problem w tym, że narzędzie to nie działa. To znaczy pewnie działa, ale jest rozpowszechniane bez biblioteki, z którą zostało zlinkowane. Dostępne są źródła, ale niepełne, więc też nie bardzo można je sobie skompilować. EDIT: Let's try that one again. Sprawdziłem, działa.
Po trzecie pojawiło się narzędzie win32dd. To narzędzie udało mi się skłonić do działania.
Warto pamiętać, że tak wykonany zrzut pamięci nie jest kompatybilny z Debugging Tools For Windows. Nie jest to może aż tak wielki problem, choć czasami powoduje to pewne utrudnienie. Zawsze można sobie napisać własne skrypty, które stosownych analiz dokonają. Warto się też przyjrzeć narzędziu The Volatility Framework.
A co, jeśli koniecznie chcemy skorzystać z Debugging Tools For Windows? Można skorzystać z livekd, a następnie zrzucić interesującą nas pamięć za pomocą polecenia .dump. Trzeba pamiętać jednak, że taki "żywy" zrzut pamięci może być wewnętrznie niespójny.
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Przesłany: Jun 10, 20:54