Aplicando herramientas forences a la memoria

Este post va para W2k3 SP1 en adelante, este tipo de técnicas, hasta ahora sólo valían para equipos   anteriores a Windows 2003 SP1, ya que en el Service Pack 1 de Windows   2003 se introdujo una medida por la cual el   objeto \Device\PhysicalMemory no es accesible en modo usuario.

Este cambió se debió, principalmente, porque en anteriores versiones de Windows, este objeto estaba protegido únicamente con una ACL. Un exploit podría utilizar capacidades como WMI o incluso la herramienta CACLS para cambiar las propiedades de ese objeto en segundo plano o bajo línea de comandos.

Matthieu Suiche desarrolló una herramienta hace meses, llamada Win32DD, la cual accede a la memoria en modo kernel, saltándose así la protección y provocar con éxito un volcado de memoria. Lo mejor de esta aplicación es la no limitación de sistema operativo, lo que abre un gran abanico de posibilidades en el ámbito forense. Con esta herramienta podremos obtener volcados de memoria a partir de sistemas Windows 2003 SP1en adelante.



La herramienta es gratuita, el código fuente se publica con ella, y podéis hacer uso de ella en el siguiente link.


Contraseña: Tecnohackers.net

No puedes ver links Registrate o Login