Menú principal

martes, 10 de julio de 2012

Análisis Forense de Memoria RAM en Mac OS X con Volatility Framework

En un análisis forense en profundidad de un máquina sospechosa de haber sido comprometida, el análisis de la memoria RAM es fundamental. En el RFC 3227, que recoge las Guidelines for Evidence Collection and Archiving la memoria RAM se encuentra en el segundo grupo de prioridad a la hora de ser recogida.

En el mundo Windows, tal y como se recoge en el capítulo entero dedicado al Análisis de la Memoria RAM en el libro de Análisis Forense Digital en Entornos Windows, existen desde hace tiempo muchas herramientas, donde Volatility Framework es la preferida por los analistas forenses. En Mac OS X existían herramientas profesionales para la adquisición y análisis de memoria RAM, pero  ahora está disponible Volatility con soporte para Mac OS X.

En la fase de adquisición de la memoria RAM en un equipo Mac OS X se puede utilizar la herramienta Mac Memory Reader, una herramienta gratuita que permite capturar la memoria en equipos Mac OS X Tiger 10.4 a Mac OS X Lion 10.7Una vez adquirida la herramienta se tiene que analizar. Una solución popular para realizar este proceso es Volafox, una solución basada en Python que también soporta el análisis de memoria de sistemas BSD, pero que que no cuenta con todas las opciones que tiene Volatility Framework.

Volatility Framework

Ahora está disponible el soporte para Mac OS X en Volatility Framework, y puede ser utilizada para extraer las estructuras de memoria, los ficheros abiertos o cargados en memoria, las tablas de configuración del sistema operativo, etcétera. En este vídeo puedes ver una demostración de cómo funciona la solución analizando la memoria RAM de un equipo con Mac OS X.


Para entender todos los comandos que se han puesto disponibles en el framework específicamente para Mac OS X, puedes ver la siguiente presentación impartida por Andrew Case, en la que no solo explica todos los comandos disponibles, sino que muestra un ejemplo de cómo detectar un rootkit en Mac OS X, como el keyloger logkext.
Mac Memory Analysis with Volatility
Ver más presentaciones de AndrewDFIR
Seguro que los analistas forenses estarán contentos de tener la herramienta disponible para los sistemas Apple.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares