jueves, 22 de noviembre de 2012

VMware ESXi, máquinas virtuales y obtención de evidencias

Debido al auge de la virtualización es altamente probable que tarde o temprano una investigación forense tenga como sujeto objeto de análisis un sistema virtualizado. Y dado que actualmente VMware se lleva la palma en cuanto a implantación en el mercado empresarial es más que posible que el sistema virtualizado se ejecute sobre un hipervisor de dicha compañía. Pues bién, lo que viene a continuación son mis experiencias ante una situación hipotética como la que planteo: la adquisición de evidencias procedentes de máquinas virtuales ejecutándose en servidores ESXi. A lo largo de las siguientes líneas desarrollaré la configuración del escenario y todas las pruebas/aciertos/errores por los que he pasado hasta que, a mi juicio como lego en la materia, he dado con una metodología personal que considero bastante aceptable.

Leer más...

jueves, 6 de septiembre de 2012

Creando volcados de memoria en android con LiME

Los que me sigáis en twitter (y los que no también) sabréis (u os enteraréis ahora) que he conseguido recuperar un HTC Google Nexus One que tenía en el cajón del olvido ya que no paraba de reiniciarse. Armado de paciencia conseguí desbloquear el arranque, rootearlo y, utilizando ROM Manager, instalar Cyanogenmod 7.2 tras lo que hasta el momento, y ya van algunos días, no ha vuelto a dar problemas.

La primera prueba que se me ocurrió fué la de utilizar LiME para generar un volcado de memoria del dispositivo y lo que sigue es mi periplo particular incluyendo mis errores (muchos), mis aciertos (muy pocos), enlaces interesantes (algunos) e incluso una petición de soporte al padre de la criatura, Joe Sylve de Digital Forensics Solutions. Pero basta de cháchara y vamos al lio :)

Leer más...

viernes, 31 de agosto de 2012

Linux, volatility y sus perfiles

Si hay una herramienta en el campo del análisis forense que ha crecido exponencialmente en los últimos años esta es sin duda volatility, permitiendo actualmente el análisis de la memoria de prácticamente cualquier sistema Windows (ya sea de 32 o de 64 bits) y con soporte en las ramas de desarrollo para MacOS y Linux, tal como se indica en las FAQ.

En esta ocasión vamos a seguir los pasos necesarios para poder analizar un volcado de memoria de un sistema Ubuntu 12.04.1 LTS, pero para ello primero necesitaremos el volcado, y con eso es con lo que vamos a empezar.

Leer más...

martes, 5 de junio de 2012

La SSDT vista desde cerca

La SSDT es sin lugar a dudas una de las estructuras internas manejadas por Windows sobre la que, posiblemente, más literatura exista, por lo que éste artículo no es ninguna novedad. No obstante me la he encontrado en mi camino y como dijo Albert Einstein: "No entiendes realmente algo a menos que seas capaz de explicárselo a tu abuela".

En concreto, y para simplificar el proceso, he analizado el funcionamiento del system service dispatching para un sistema Windows XP SP3 x86. Así que, voy a intentar explicaros, que es lo que yo he entendido.

Leer más...

domingo, 29 de abril de 2012

Aprendiendo python

Pues ahora que recién estrené mi condición de parado, y por tanto con algo más de tiempo al menos hasta que decida que ponerme a estudiar, cualquier excusa es buena para pasar un rato entretenido. Y en este caso la excusa la encontré en el siguiente enlace: "From ZeroAccess to 256 IPs in 0.2 Seconds".

Leer más...