Acquisizione della RAM

L’acquisizione della RAM è un compito importante nei casi di risposta agli incidenti. Pertanto, è fondamentale eseguire le azioni associate all’acquisizione della RAM in modo corretto e accurato.

Come quasi tutto in questo settore, e l’acquisizione della RAM non è stata da meno, dobbiamo dividere il lavoro in tre blocchi, uno per ogni sistema operativo (ci sono più di tre sistemi operativi, ma ci concentriamo su quelli principali).

Come già sappiamo la RAM è una zona molto attiva, dove praticamente tutto viene registrato, beh, più che registrato diremo che viene memorizzato temporaneamente. Perché questa è la funzione della RAM, fornire una memorizzazione veloce al processore. Così possiamo trovare informazioni che sono in un modo o nell’altro attive nel computer. Questo significa che al momento dell’acquisizione otterremo un'”istantanea” dello stato attuale della RAM, così come le azioni che abbiamo dovuto compiere per poter eseguire il dump della RAM e che dovranno essere prese in considerazione quando analizzeremo l’acquisizione.

Passi preliminari al dump della RAM

Prima di poter eseguire il dump della RAM o l’acquisizione dobbiamo essere preparati. Questo significa che dobbiamo conoscere la procedura, conoscere gli strumenti che useremo e come usarli, e sapere dove salveremo le prove ottenute.

Come abbiamo già detto, iniziamo che ci sono tre sistemi operativi principali, questi sono GNU/Linux, Mac OS e Microsoft Windows. La procedura sarà simile, ma non uguale per i tre casi.

Quali strumenti possiamo usare per ogni sistema operativo? Qui viene un po’ di confusione. Di strumenti di acquisizione della RAM ce ne sono diversi, quale è meglio? Come possiamo beneficiare di uno e non di un altro? Ecc.

I più usati sono i seguenti:

iv

Sistema operativo Strumento di acquisizione
Microsoft Windows Winpmem, DumpIt, win32dd/win64dd, Memoryze, FastDump, RamCapture
Mac OS Osxpmem, Memoryze
GNU/Linux Linpmem, LiME

Quando abbiamo già chiaro quali strumenti useremo e ci sentiamo a nostro agio con essi, dobbiamo pensare dove terremo le prove. Dovete pensare che i computer hanno sempre più RAM e quindi hanno bisogno di tanto spazio di archiviazione quanta è la memoria del computer.

Per esempio, se eseguiamo un dump della RAM di un portatile è possibile che con 8 Gb ne abbiamo abbastanza, ma se eseguiamo il dump su un server con 128 Gb di RAM con 8 Gb di archiviazione non dovremo nemmeno iniziare.

Acquisizione

Abbiamo già chiara la procedura, sappiamo quali strumenti useremo e come dovremmo usarli per causare il minor impatto sul team di performance e, abbiamo chiare le caratteristiche del nostro obiettivo per non rimanere a corto di spazio.

Con i preparativi pronti siamo pronti per eseguire un dump della RAM. Per semplicità e per essere il caso più comune, in ambienti aziendali, spiegheremo l’uso di due strumenti per Microsoft Windows.

Quando affrontiamo un caso di memory dump sorgono diversi dubbi. Lo facciamo in locale o in remoto? Scolleghiamo il computer dalla rete? Beh, il computer dovrebbe essere il più intatto possibile, se vogliamo catturare la memoria così com’è non dovremmo disconnettere il computer dalla rete.

Tra cattura locale o remota, perché la verità è che dipende da ogni circostanza. Nei computer Microsoft Windows e negli ambienti aziendali è molto facile usare strumenti come PSEXEC per eseguire l’acquisizione remota, ma non è sempre il caso, quindi i test che insegneremo di seguito li faremo in locale. Questo significa collegare un dispositivo di archiviazione esterno con capacità sufficiente e contenente gli strumenti di cui abbiamo bisogno.

DumpIt

DumpIt è uno strumento che fa parte di Moonsols Limited ed è ora gestito da Comae Technologies FZE. DumpIt è molto semplice da usare. Può essere usato senza parametri o con essi, vedi il menu di aiuto con l’opzione -h. Eseguiamo DumpIt senza parametri, come si vede nell’immagine seguente.

Una volta finito avremo accanto all’eseguibile il file .dmp o .raw con le informazioni della memoria RAM durante la cattura di essa.

Winpmem

Winpmem è un fantastico strumento che viene dal progetto Rekall per analizzare la memoria RAM. Winpmem permette di ottenere la memoria RAM principalmente con il formato AFF4, un formato che in realtà è un contenitore zip, dove è possibile memorizzare più informazioni oltre al dump della memoria RAM.

Oltre a poter utilizzare il formato AAF4 e poter prendere in un unico file diverse prove, permette anche di utilizzare il formato RAW come con DumpIt o altri strumenti.

Di default Winpmem ci genera un contenitore AFF4 con il dump della memoria RAM. I dump in questo formato occupano molto meno, quindi non sarà necessaria una dimensione minima, anche se è comunque consigliabile portare sempre spazio extra.

Come visto nell’immagine precedente, basta indicare dove salvare il file di output con l’opzione -o. Alla fine del processo avremo quella che è la memoria RAM insieme ai driver di sistema. Informazioni molto utili per analizzare il dump di memoria in seguito.

Infine, diciamo che anche se il formato AFF4 è in realtà un file zip, la RAM non è in un unico file, ma è separata in file e indicizzata. Ecco perché è necessario leggere la RAM con un software che permette di leggere il formato AFF4 come, per esempio, Rekall. Anche da Rekall è possibile estrarre l’immagine del dump in formato RAW per analizzarla con Volatility, per esempio.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *