o t analizar una imagen i u t ram con bulk extractor …...ram con bulk extractor presentación...
TRANSCRIPT
Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]
Jueves 27 de Febrero del 2020Web
inar
Gra
tuit
o Analizar una ImagenRAM con Bulk Extractor
Presentación
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures y Pen Testing.
Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 17 años de experiencia y desde hace 13 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ [email protected]
SIFT
Un equipo de expertos forenses internacionales creo una estación de trabajo de nombre SIFT (SANS Incident Forensic Toolkit), para ser utilizado en respuesta de incidentes y forense digital, el cual está disponible libremente para toda la comunidad forense.
SIFT pueden coincidir con cualquier suite de herramientas modernas para respuesta de incidentes y forense. Esto demuestra investigaciones avanzadas y la respuesta a intrusiones, puede ser hecho utilizando herramientas open source, las cuales están libremente disponibles y son frecuentemente actualizadas.
● Basado en Ubuntu LTS 16.04● Sistema base de 64 bits● Mejor utilización de memoria● Las últimas herramientas y técnicas forenses● Compatibilidad entre Linux y Windows● Opción de instalar un sistema autónomo en línea de comando, etc.
* SIFT: https://digital-forensics.sans.org/community/downloadsAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Forense de Memoria
En la actualidad el forense de la memoria no es algo opcional, sino una etapa obligatoria (si el escenario aplica) durante una investigación profesional. Por lo tanto, antes de realizar el análisis forense a la memoria, se debe primero realizar un volcado de la memoria, y esto debe ser hecho de la manera correcta. De otra manera, incluso las herramientas más poderosas, no tendrán éxito.
Es el análisis forense del volcado de la memoria de una computador. Su principal aplicación es la investigación de ataques avanzados por computadora, los cuales son los suficientemente ocultos para evitar dejar datos en el dispositivo de almacenamiento de una computadora. Consecuentemente la memoria (RAM) debe ser analizada por información forense.
* Memory Forensics: https://en.wikipedia.org/wiki/Memory_forensicsAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Estructura de la Memoria
Cada proceso ejecutado en memoria asigna espacio para almacenar su código y datos. Este espacio consiste de páginas de memoria de 4KB de tamaño en x86. Todos los procesos direccionan sus espacios de memoria con direcciones virtuales, los cuales son traducidos en direcciones físicas por el mismo sistema, sin interacción de ningún proceso.
El los sistemas modernos, existen dos categorías de procesos; procesos ejecutados en modo usuario, y otros ejecutados en modo kernel. La diferencia es el nivel de acceso otorgado por el sistema operativo. En el modo usuario, los procesos no pueden modificar páginas o acceder hacia las locaciones de memoria de otros procesos, excepto comunicaciones inter procesos utilizando las APIs de Windows. Todos los procesos inician en modo usuario, excepto el proceso “SYSTEM”.
El modo kernel es utilizado por el kernel de Windows al inicio del sistema, configuar el espacio de memoria y paginación. En algunas situaciones, como ejecutar la API de Windows, el procesador recibe interrupciones, los cuales requiere conmutar al modo kernel para ejecutar la interrupción y luego retornar al modo usuario.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Estructura de la Memoria
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Bulk Extractor
Programa el cual extrae elementos tales como direcciones de correo electrónico, números de tarjetas de crédito, URLS, y otros tipos de información desde archivos de evidencia digital. Herramienta útil para una investigación forense, pues realiza muchas tareas tales como investigaciones de malware o intrusión, identificar investigaciones y ciber investigaciones. Proporciona muchas capacidades inusuales, incluyendo:
● Encuentra direcciones de correo electrónico, URLs, números de tarjetas de crédito, lo cual podría no ser encontrado por otras herramientas, pues procesa datos comprimidos, y datos dañados parcialmente o incompletos. Puede reconstruir archivos JPEGs, documentos office, y otros tipos de archivos a partir de fragmentos de datos comprimidos. Detectará y reconstruirá archivos RAR comprimidos.
● Construye una lista de palabras basado en todas las palabras encontradas dentro de los datos, incluso aquellos en archivos comprimidos, residiendo en el espacio sin asignas. Son útiles para intentar “romper” contraseñas.
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractorAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Bulk Extractor (Cont.)
Bulk extractor también crea histogramas de las características encontradas. Esto es útil porque características tales como direcciones de correo electrónico y búsquedas en Internet más comunes tienden a ser importantes.
Adicionalmente a las características antes descritas bulk extractor también incluye:
● Una interfaz gráfica de usuario, Bulk Extractor Viewer, para navegar características almacenadas en archivos de características y para lanzar escaneos con bulk extractor
● Un pequeño número de programas en python para realizar análisis adicionales sobre los archivos de características
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractorAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Bulk Extractor (Cont.)
● Es multi tarea; al ejecutar bulk extractor en una computadora con el doble de núcleos, generalmente hace se complete la ejecución en la mitad del tiempo.
● Crea un histograma mostrando las direcciones de correo electrónicos más comunes, URLs, dominios, términos de búsqueda, y otro tipo de información en el dispositivo.
Bulk extractor opera sobre imágenes de disco, archivos o un directorio de archivos, y extrae información útil sin interpretar el sistema de archivos o estructuras del sistema de archivos. La salida es dividida en páginas y procesada por uno o más escáneres. Los resultados son almacenados en archivos de características, los cuales pueden ser fácilmente inspeccionados, interpretados, o procesados sin otras herramientas automáticas.
* Bulk Extractor: https://tools.kali.org/forensics/bulk-extractorAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Curso
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Información: http://www.reydes.com/d/?q=Curso_de_Informatica_Forense e-mail: [email protected] Sitio web: http://www.reydes.com
Demostraciones
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Cursos Virtuales Disponibles en Video
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
Más Contenidos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Videos de 52 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]
Jueves 27 de Febrero del 2020Web
inar
Gra
tuit
o Analizar una ImagenRAM con Bulk Extractor