Banner 1

Mi caja de herramientas (Forensics Memory Tools)

Esta entrada nos da una pista de que herramientas podemos encontrar para empezar nuestro mundo en la informatica forense, gracias a pedro por mostrarnos sus herrameintas xD.

---------------------------------------------------------------------


Hola lectores,

Como tengo la RAM volátil, he decidido recabar herramientas con objeto de recordar algunas de las más comunes que suelo utilizar para el análisis y volcado de memoria RAM.


Algunas de ellas se han escrito en este blog, otras en cambio y debido a su coste comercial, tan solo se han nombrado o se ha realizado algún pequeño ejemplo.

La mayoría de ellos están pensados para sistemas operativos basados en Windows, incluidos Vista y Windows Server

Volatility (free) - Magnifica herramienta, ha sacado mucha más información inclusive de temas tan peliagudos como la criptografía. Para mi otra de las Joyas de la corona.

Mantech Memory DD o MDD (free) - No hay mucho para decir sobre este producto, es otro de los pesos pesados en volcados de memoria

Win32dd (free) - El que más utilizo con diferencia, sencillo, rápido, multiplataforma y con posibilidad de utilizar el debuger de Microsoft. Una autentica joya

winen.exe (comercial pero incluido en HELIX 2.0) - Vuelca la RAM en formato EnCase (E01), capaz de comprimir el fichero resultante y totalmente operativo en su uso con otras herramientas (EnCase, FTK). Por supuesto permite mantener la integridad del fichero a inspeccionar.

fastdump (free) - Creado por HBGARY También una de las buenas, lastima que no esta muy actualizado.

PTFinders (free), de Andreas Schuster, curiosa, y de gran potencial, interesantisima bajo el prisma de documentar procesos y análisis.

Mandiant Memoryze (free) - Uno de los grandes en esto del análisis de memoria, casi diría que es de los primeros en crear utilidades para respuesta ante incidentes. Fue una de las primeras herramientas con las que más a gusto me he encontrado. La empresa que gestiona Memoryze es Mandiant y desde ella se ha liberado múltiples productos (free) para el análisis forense

EnCase (comercial). El padre de todas las herramientas. Sencillo, útil, programable, con cientos de plugins, funcional 100%, es la mejor herramienta actualmente en el mercado, no solo por el análisis de memoria si no por la cantidad de expresiones de búsqueda de información que posee. Es la más reconocida en el mercado y bastante dificil de adquirir debido a su elevado precio

FTK (comercial), con cariño, esta es una de las herramientas que más utilizo en mi porfolio, podría decir que es el hermano pequeño de EnCase, ligero, funcional y cumple con notable exactitud en el análisis forense.

Process dumper y memory parser (frees), curiosas, sencillas y utilisimas, me han sacado la información cuando más lo necesitaba.

En otra ocasión recopilare sobre herramientas de análisis del registro de Windows.

FUENTE:http://conexioninversa.blogspot.com/2009/06/mi-caja-de-herramientas-forensics.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay