Aquisição de RAM

A aquisição deRAM é uma tarefa importante em casos de resposta a incidentes. Portanto, é crucial executar as acções associadas à aquisição de RAM de forma correcta e precisa.

Como quase tudo nesta área, e a aquisição de RAM não ia ser menos, devemos dividir o trabalho em três blocos, um para cada sistema operacional (existem mais de três sistemas operacionais, mas concentramo-nos nos principais).

Como já sabemos que a RAM é uma área muito activa, onde praticamente tudo é gravado, bem, mais do que gravado diremos que é armazenado temporariamente. Pois essa é a função da RAM, proporcionar um rápido armazenamento ao processador. Assim, podemos encontrar informação que, de uma forma ou de outra, está activa no computador. Isto significa que no momento da aquisição teremos um “instantâneo” do estado actual da RAM, bem como das acções que tivemos de tomar para podermos realizar o despejo da RAM e que terão de ser tidas em conta quando analisarmos a aquisição.

Passos preliminares ao despejo da RAM d

Antes de podermos realizar o despejo da RAM ou aquisição temos de estar preparados. Isto significa que devemos conhecer o procedimento, conhecer as ferramentas que iremos utilizar e como utilizá-las, e saber onde iremos guardar as provas obtidas.

Como já mencionámos, começamos que existem três sistemas operativos principais, estes são GNU/Linux, Mac OS e Microsoft Windows. O procedimento será semelhante, mas não o mesmo para os três casos.

Que ferramentas podemos utilizar para cada sistema operativo? É aqui que vem um pouco de confusão. Os instrumentos de aquisição de RAM são vários, qual deles é melhor? Como beneficiamos de um e não de outro? Etc.

Os mais utilizados são os seguintes:

iv

Sistema Operacional Ferramenta de aquisição
Microsoft Windows Winpmem, DumpIt, win32dd/win64dd, Memoryze, FastDump, RamCapture
Mac OS Osxpmem, Memoryze
GNU/Linux Linpmem, LiME

Quando já tivermos claras as ferramentas que vamos utilizar e nos sentirmos confortáveis com elas, temos de pensar onde vamos guardar as provas. É preciso pensar que os computadores têm cada vez mais RAM e, portanto, necessitam de tanto espaço de armazenamento como o computador tem memória.

Por exemplo, se executarmos um despejo de RAM de um portátil é possível que com 8 Gb tenhamos o suficiente, mas se executarmos o despejo para um servidor com 128 Gb de RAM com 8 Gb de armazenamento não teremos sequer de começar.

Aquisição

Já temos o procedimento livre, sabemos que ferramentas vamos usar e como devemos usá-las para causar o menor impacto na equipa de desempenho e, temos as características do nosso alvo livre para não ficarmos aquém do espaço.

Com os preparativos prontos, estamos prontos para executar uma lixeira de RAM. Por simplicidade e por ser o caso mais comum, em ambientes corporativos, explicaremos o uso de duas ferramentas para Microsoft Windows.

Quando nos deparamos com um caso de despejo de memória surgem várias questões. Fazemo-lo local ou remotamente? Desligamos o computador da rede? Bem, o computador deve estar tão intacto quanto possível, se quisermos capturar a memória como está não devemos desligar o computador da rede.

Entre captura local ou remota, porque a verdade é que depende de cada circunstância. Em computadores e ambientes empresariais Microsoft Windows é muito fácil utilizar ferramentas como o PSEXEC para realizar a aquisição remota, mas nem sempre é o caso, pelo que os testes que iremos ensinar a seguir faremos localmente. Isto significa ligar um dispositivo de armazenamento externo com capacidade suficiente e contendo as ferramentas de que precisamos.

DumpIt

DumpIt é uma ferramenta que faz parte da Moonsols Limited e é agora gerida pela Comae Technologies FZE. Dump É muito simples de usar. Pode ser utilizado sem parâmetros ou com eles, ver o menu de ajuda com a opção -h. Executamo-lo DumpIt sem parâmetros, como se vê na imagem seguinte.

Após terminado teremos ao lado do executável o ficheiro .dmp ou .raw com a informação da memória RAM durante a captura do mesmo.

Winpmem

Winpmem é uma ferramenta fantástica que vem do projecto Rekall para analisar a memória RAM. Winpmem permite obter a memória RAM principalmente com o formato AFF4, um formato que é realmente um recipiente zip, onde se pode armazenar mais informação para além da memória RAM dump.

Besides sendo capaz de utilizar o formato AAF4 e ser capaz de levar num único ficheiro várias provas, também permite utilizar o formato RAW como com DumpIt ou outras ferramentas.

Por defeito Winpmem irá gerar-nos um recipiente AFF4 com a memória RAM dump. As lixeiras neste formato ocupam muito menos, pelo que não será necessário um tamanho mínimo, embora ainda seja aconselhável levar sempre espaço extra.

Como visto na imagem anterior, basta indicar onde guardar o ficheiro de saída com a opção -o. No final do processo, teremos o que é a memória RAM juntamente com os drivers do sistema. Informação muito útil para analisar a descarga de memória mais tarde.

Finalmente, digamos que embora o formato AFF4 seja na realidade um ficheiro zip, a RAM não está num único ficheiro, mas está separada em ficheiros e indexada. É por isso que é necessário ler a RAM com um software que permita ler o formato AFF4 como, por exemplo, o Rekall. Também da Rekall é possível extrair a imagem da lixeira em formato RAW para a analisar com Volatilidade, por exemplo.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *