Inicio > RAM, Seguridad > Volcado de Memoria RAM

Volcado de Memoria RAM

Lunes, 12 de enero de 2009 Dejar un comentario Ir a comentarios

Muchas veces la RAM es la gran desconocida y no nos aprovechamos de la información en ella almacenada. En este caso y gracias al blog conexioninversa vamos a ver que es posible obtener información sensible de la misma.

Veremos que el proceso es muy sencillo. Como siempre existen multitud de programas que iremos analizando en el tiempo. Esta vez vamos a probar una herramienta de la empresa trapkit denominada pd – Process Dumper disponible tanto para Windows como Linux.

Necesitamos conocer el ID del proceso sobre el que queremos realizar el volcado de memoria, y a partir del mismo empezar a trabajar.

En función del Sistema Operativo en el que nos encontremos la obtención de ese ID se realizara de forma diferente.

Si estamos ante un Windows podemos utilizar el Tasklist, por ejemplo con la siguiente instrucción:

tasklist /FI “IMAGENAME eq proceso_analizar”

o podemos utilizar herramientas como el archiconocido Process Explorer, de la antigua Sysinternals ahora bajo las garras de Microsoft.

En caso de encontrarnos ante un sistema unix, podemos ayudarnos de nuestro amigo ps para obtener la misma información

ps -ef | grep firefox
pedimave  6553  5785  0 16:45 ?        00:00:00 /bin/sh /usr/bin/firefox

Una vez conocido el identificativo del proceso, el resto no tiene ningún misterio. Voy a realizar el proceso en Linux, ya que en Windows seria de la misma forma.

Descomprimimos el archivo descargado: bunzip2 pd_v1.1_lnx.bz2
Esto nos genera un archivo pd_v1.1_lnx.

Ahora no queda mas que ejecutarlo: pd -v -p 6553 > firefox.dump

Con la opción verbose (-v) vemos como se esta ejecutando el volcado de memoria, y solo nos queda esperar a que termine.

Una vez este proceso ha terminado, lo que podemos hacer es obtener todas las cadenas del mismo para poder analizarlas en un formato legible. Para ellos disponemos de una herramienta llamada strings que realiza precisamente eso.

Strings firefox.dump > firefox.txt

Ahora que ya tenemos generado el fichero en formato texto, ya podemos empezar a trabajar. Podemos abrirlo con algún editor o utilizar alguna herramienta o script, con el que empezar a buscar información que nos pueda interesar.

A partir de aquí la imaginación o la suerte hará el resto.

Suerte a todos.

Enviar a un amigo: Share this page via Email
Categories: RAM, Seguridad Tags: , , ,
  1. Sin comentarios aún.
  1. Sin trackbacks aún.
*