Post14 n

Creación y análisis básico de una imagen forense en windows 7 con FTK imager y Volatility.


Charly face
Alejandro Rivera



Bueno, este post esta creado para aquella gente al igual que yo apasionada por la informática y sobre todo el área informática forense digital.

Partiremos primeramente con la definición de que es una memoria RAM.

¿Que es una memoria RAM?

RAM son las siglas en inglés de random access memory, es un tipo de memoria de ordenador a la que se puede acceder aleatoriamente; es decir, se puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La memoria ram es un tipo más común en ordenadores y otros dispositivos como impresoras y últimamente smartphones. Existen dos tipos de memoria la dinámica y la estática, la dinámica necesita actualizarse miles de veces por segundo mientras que la estática no necesita actualizarse, por ende es mas veloz y más costosa.   


¿Que es FTK Imager?

FTK Imager es una herramienta para la creación de imágenes de disco, guarda una imagen de un disco duro en un archivo o en segmentos que pueden ser posteriormente reconstruidos y analizados. Se calcula los valores de hash MD5 y confirma la integridad de los datos antes de cerrar los archivos. El resultado es un archivo ( s ) de imágenes que se pueden guardar en varios formatos, incluyendo , DD raw.

Para esto necesitaré una laptop con windows 7 y dos herramientas; FTK imager y Volatility, lo primero es crear un volcado de memoria con ftk como se mostrará en la siguiente imagen.


¿Que es Volatility?

Volatility es un Framework con un conjunto de herramientas “plugins” desarrolladas en Python con licencia GNU. Este Framework está pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM.



Bueno, aquí nos pedirá un path para el destino del archivo y si queremos también podemos cambiar el nombre del archivo, ojo que si cambiamos el nombre procurar no borrar .mem, A continuación una imagen del proceso.



Esto puede tardar un poco, dependiendo el tamaño de la memoria ram en mi caso es de 1GB.



Una vez ya creada la imagen lo pasamos a un pendrive y lo migramos a nuestro Gnu/Linux, un dato es que con ftk también podemos hacer un análisis como se muestra en la imagen de arriba, pero este no es el caso.

Ahora procederemos a analizar nuestra imagen, como dije para esto utilizaremos volatility y así obtendremos información de aquella imagen forense como se mostrará en la siguiente imagen.



Como vemos obtuvimos información básica sobre nuestra imagen forense, por lo tanto ya sabemos que es un Windows 7 corriendo en una arquitectura de 64 bits con 2 procesadores, aparte nos sugiere unos plugins para hacer nuestros primeros análisis, volatility cuenta con 3 plugins para la obtención de información, kdbgscan, kpcrscan, imageinfo. Cabe recalcar que KDBG es una estructura del núcleo en windows para métodos de depuración.  Ahora procederemos a listar los procesos que se estaban ejecutando en el momento del uso de windows 7.





Como vemos en estas imágenes se listan los procesos ejecutados donde PID es la identidad del proceso, PPID es el la identidad del proceso padre y OFFSET es la dirección de desplazamiento en hexadecimal. También podemos usar el plugins pstree para ver el mismo resultado pero en vista de árbol jerárquico.


Ahora veremos los servicios de windows, en donde mostrará una larga lista de servicios que corría windows 7 en ese momento, así lo representa la siguiente imagen.



Seguimos ahora visualizando los registros hive




Como vemos en la imagen de arriba examinamos la salida y nos encontramos con dos ficheros SAM y SYSTEM que contiene bastante información como para volcarlos y obtener los hash de las contraseñas. Tomar nota de los valores virtuales, ahora procederemos a dumpear esos ficheros, como se muestra en la siguiente imagen.



En la imagen de arriba vemos que hemos volcado con éxito los archivos SAM y SYSTEM e marcado un hash en verde, es el que me interesa en estos momentos, que es de la persona que supongo utilizaba esa laptop.

Windows separa hash por dos puntos en donde el primero es LM (LANMAN) es un hash inseguro y obsoleto donde se ocupaba en Windows VISTA el segundo NTLM es más actual pero no como para decir que es el rey de los algoritmos, al menos es más fácil de romper en comparación a los hash de otras distros. Bueno aquí el hash en texto plano ya descifrado.



En la imagen de arriba se puede apreciar que el password del usuario víctima es víctima "USER:victima, PASSWD:victima" y para ir culminando el post veremos todos los ficheros DLL de todos los procesos o de un proceso en particular.



En la imagen de arriba podemos ver que se listaron todos los ficheros dll de todos los procesos ejecutados en ese momento por el usuario y el sistema windows 7, ya teniendo esta información podemos extraer todos los ficheros y guardarlos en una carpeta de nuestro Gnu/Linux para un posterior análisis  más detallado y preciso.




Logramos apreciar que hemos descargado todos los ficheros en el directorio DLL_ANALISIS, vemos que hemos extraído 1.658 archivos DLL para un posterior análisis.

Eso es todo, espero que esta información sirva y les haya gustado, así como todos los lectores soy un apasionado de este tema y lo mejor es que me gusta compartir conocimiento y recibir conocimiento. Saludos cordiales a toda la comunidad BacktrackAcademy, sigan aprendiendo dentro de esta hermosa comunidad y plataforma que llegarán muy lejos. Un saludo al profesor Rodolfo Ceceña verdaderamente uno de los mejores docentes y jedi digital :). Adios!!!



Charly face
Miguel Angel Chavez Silva
ha comentado hace más de 1 año

Has hecho una imagen de algún disco duro pero con FTK? y qué versión usaste?Saludos desde México.

Artículos que te pueden interesar


Hola a todos, soy Martín Frias, fundador de Coldd Security y escritor del blog The Hacker Snow, este es mi primer artículo de muchos que espero ... Martin Frias


Continuar Leyendo

En múltiples ocasiones nos ha tocado realizar pensteting pero no tenemos a mano un kali virtualizado o alguna distro de pentest de su elección, ... José Moreno


Continuar Leyendo

La inyección de código es la explotación de un error de la computadora causado por el procesamiento de datos no válidos. El atacante usa la inye... Omar Jacobo Muñoz Veliz


Continuar Leyendo