Acquisition de la RAM

L’acquisition de la RAM est une tâche importante dans les cas de réponse aux incidents. Par conséquent, il est crucial d’effectuer les actions associées à l’acquisition de la RAM correctement et avec précision.

Comme presque tout dans ce domaine, et l’acquisition de la RAM n’allait pas être moindre, nous devons diviser le travail en trois blocs, un pour chaque système d’exploitation (il y a plus de trois systèmes d’exploitation, mais nous nous concentrons sur les principaux).

Comme nous le savons déjà la RAM est une zone très active, où pratiquement tout est enregistré, enfin, plus qu’enregistré nous dirons que c’est stocké temporairement. Car c’est la fonction de la RAM, fournir un stockage rapide au processeur. Nous pouvons donc trouver des informations qui, d’une manière ou d’une autre, sont actives dans l’ordinateur. Cela signifie qu’au moment de l’acquisition, nous obtiendrons un  » instantané  » de l’état actuel de la RAM, ainsi que les actions que nous avons dû entreprendre pour pouvoir effectuer le dump de la RAM et qui devront être prises en compte lors de l’analyse de l’acquisition.

Étapes préliminaires au dump de la RAM

Avant de pouvoir effectuer le dump ou l’acquisition de la RAM, nous devons être préparés. Cela signifie que nous devons connaître la procédure, connaître les outils que nous allons utiliser et comment les utiliser, et savoir où nous allons sauvegarder les preuves obtenues.

Comme nous l’avons déjà mentionné, nous commençons qu’il existe trois principaux systèmes d’exploitation, ce sont GNU/Linux, Mac OS et Microsoft Windows. La procédure sera similaire, mais pas la même pour les trois cas.

Quels outils peut-on utiliser pour chaque système d’exploitation ? C’est là qu’intervient un peu de désordre. Les outils d’acquisition de la RAM, il y en a plusieurs, lequel est le meilleur ? Comment bénéficier d’un outil et pas d’un autre ? Etc.

Les plus utilisés sont les suivants :

iv

Système d’exploitation Outil d’acquisition
Microsoft Windows Winpmem, DumpIt, win32dd/win64dd, Memoryze, FastDump, RamCapture
Mac OS Osxpmem, Memoryze
GNU/Linux Linpmem, LiME

Quand nous avons déjà clairement défini les outils que nous allons utiliser et que nous nous sentons à l’aise avec eux, nous devons penser à l’endroit où nous allons conserver les preuves. Il faut penser que les ordinateurs ont de plus en plus de RAM et ont donc besoin d’autant d’espace de stockage que l’ordinateur a de mémoire.

Par exemple, si nous effectuons un dump de RAM d’un ordinateur portable, il est possible qu’avec 8 Go nous en ayons assez, mais si nous effectuons le dump vers un serveur avec 128 Go de RAM avec 8 Go de stockage, nous n’aurons même pas à commencer.

Acquisition

Nous avons déjà clair la procédure, nous savons quels outils nous allons utiliser et comment nous devons les utiliser pour causer le moins d’impact sur l’équipe de performance et, nous avons clair les caractéristiques de notre cible pour ne pas tomber à court d’espace.

Avec les préparations prêtes, nous sommes prêts à effectuer un dump RAM. Pour des raisons de simplicité et parce qu’il s’agit du cas le plus courant, dans les environnements d’entreprise, nous expliquerons l’utilisation de deux outils pour Microsoft Windows.

Lorsque nous sommes confrontés à un cas de vidage de la mémoire, plusieurs doutes surgissent : faut-il le faire localement ou à distance ? Faut-il déconnecter l’ordinateur du réseau ? Eh bien, l’ordinateur doit être aussi intact que possible, si nous voulons capturer la mémoire telle qu’elle est, nous ne devons pas déconnecter l’ordinateur du réseau.

Entre la capture locale ou à distance, car la vérité est que cela dépend de chaque circonstance. Dans les ordinateurs Microsoft Windows et les environnements d’entreprise est très facile d’utiliser des outils comme PSEXEC pour effectuer l’acquisition à distance, mais pas toujours le cas, de sorte que les tests que nous allons enseigner ci-dessous nous allons faire localement. Cela signifie qu’il faut connecter un périphérique de stockage externe ayant une capacité suffisante et contenant les outils dont nous avons besoin.

DumpIt

DumpIt est un outil qui fait partie de Moonsols Limited et qui est maintenant géré par Comae Technologies FZE. DumpIt est très simple à utiliser. Il peut être utilisé sans paramètres ou avec eux, voir le menu d’aide avec l’option -h. Nous l’exécutons DumpIt sans paramètres, comme on le voit dans l’image suivante.

Une fois terminé, nous aurons à côté de l’exécutable le fichier .dmp ou .raw avec les informations de la mémoire RAM pendant la capture de celle-ci.

Winpmem

Winpmem est un outil fantastique qui provient du projet Rekall pour analyser la mémoire RAM. Winpmem permet d’obtenir la mémoire RAM principalement avec le format AFF4, un format qui est vraiment un conteneur zip, où l’on peut stocker plus d’informations en dehors du dump de la mémoire RAM.

En plus de pouvoir utiliser le format AAF4 et de pouvoir prendre dans un seul fichier plusieurs preuves, il permet aussi d’utiliser le format RAW comme avec DumpIt ou d’autres outils.

Par défaut, Winpmem va nous générer un conteneur AFF4 avec le dump de la mémoire RAM. Les dumps dans ce format occupent beaucoup moins de place, il ne sera donc pas nécessaire d’avoir une taille minimale, bien qu’il soit toujours conseillé de prévoir un espace supplémentaire.

Comme vu dans l’image précédente, il suffit d’indiquer où enregistrer le fichier de sortie avec l’option -o. À la fin du processus, nous aurons ce qui est la mémoire RAM ainsi que les pilotes du système. Une information très utile pour analyser le dump de la mémoire par la suite.

Enfin, disons que bien que le format AFF4 soit en fait un fichier zip, la RAM n’est pas dans un seul fichier, mais est séparée en fichiers et indexée. C’est pourquoi il est nécessaire de lire la RAM avec un logiciel qui permet de lire le format AFF4 comme, par exemple, Rekall. Toujours à partir de Rekall, il est possible d’extraire l’image du dump au format RAW pour l’analyser avec Volatility, par exemple.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *