PRAKTYKA
PRZEMYSA
AW KREJZA
Akwizycja
i analiza
pamięci
Stopień trudności
Trudno dziś sobie wyobrazić analizy powłamaniowe, czy inne
związane z szeroko pojętą informatyką śledczą, bez analizy
do popisu dla
pamięci operacyjnej badanego komputera. Teza ta jest
malware u i innego
tym bardziej aktualna, że wielkość pamięci współczesnych
oprogramowania
komputerów, średnio od 2 do 8 GB RAM, daje wielkie pole
oraz sporą
przestrzeń do
anim dane elektroniczne zostaną w żywym systemie do celów dalszej analizy.
przechowywania
uznane za dowód w incydencie W uproszczeniu, pozyskana w ten sposób
Zmuszą zostać w pierwszej kolejności kopia jest podobna do kopii binarnej np.
ciekawych danych,
zgromadzone. Jeśli zebrany materiał nie dysku twardego, jednak aby ją wykonać
które mogą być
będzie pochodził ze wszystkich możliwych musimy przystosować swoje narzędzia i
śladami lub nawet
z
ródeł wyprowadzenie właściwych wniosków techniki do nowych warunków związanych z
z incydentu może być trudne, a nawet koniecznością pracy na działającym materiale
dowodami w
niemożliwe. Historycznie rzecz ujmując, dowodowym. Pozyskiwanie informacji z
różnego rodzaju
cyfrowe dochodzenia opierały się o działających systemów jest bowiem czym
incydentach.
zapisy zawarte na twardym dysku i innych innym niż praca z pamięciami statycznymi,
nośnikach, przechowujących dane w sposób gdzie do wykonania kopii binarnej dysku
trwały. Większość śledczych zakładało, w pierwszej kolejności należało wyłączyć
że tylko w informacji zapisanej na takim komputer. Wykonana kopia była stanem
nośniku można odnalez
ć coś ciekawego. ustalonym z zamkniętego systemu, gdzie
Inne miejsca, zwane pamięciami ulotnymi, wszystkie dane są już zapisane. Pracujący
takie jak np. pamięć operacyjna czy ruch system operacyjny jest natomiast w stanie
Z ARTYKUA
U
sieciowy pozostawały w sferze niedostępnej nieustannej zmiany a wykonany zrzut pamięci
DOWIESZ SI

i niezrozumiałej. Podobnie narzędzia służące jest niejako zamrożeniem czasu tj. stanu w
jak ważna jest analiza pamięci
do analizy i zabezpieczania takich danych danej chwili. Choć sam proces akwizycji
RAM,
były właściwie nieosiągalne i trudne w pamięci RAM jest stosunkowo prosty, łatwo
jakie są najpopularniejsze
użyciu. Obecnie, chcąc odnalez
ć przyczyny tu o pomyłkę oraz działania, które mogą
narzędzia do akwizycji pamięci
oraz jakie są ich możliwości, kompromitacji systemu, jego z
ródła i powody, zatrzeć oczekiwane ślady. Dlatego przed
nie sposób nie zajrzeć do pamięci RAM czy rozpoczęciem prawdziwych spraw warto
jakie są najpopularniejsze
narzędzia do analizy pamięci
ruchu sieciowego. Niniejszy artykuł stanowi przygotować własny set narzędzi i przećwiczyć
oraz jakie są ich możliwości,
wprowadzenie do złożonej tematyki analizy odpowiednie procedury.
CO POWINIENEŚ pamięci ulotnych na przykładzie akwizycji Na początek, o czym trzeba pamiętać:
WIEDZIEĆ
i analizy pamięci operacyjnej podejrzanej
znać podstawy architektury
maszyny. " Dokumentuj każdy krok. Dokumentacja
systemów,
zawsze może się przydać.
znać podstawy
Akwizycja pamięci " Musisz mieć pełny dostęp do systemu.
administrowania komputerem,
Proces ten sprowadza się do wykonania W innym wypadku akwizycja będzie
znać podstawy informatyki
kopii binarnej (image, dump, zrzut) pamięci niemożliwa.
śledczej.
68 HAKIN9 10/2009
AKWIZYCJA I ANALIZA PAMI
CI
" W docelowej maszynie nie zamykaj zarówno płatnych, jak i darmowych, binarnej, pamięci, jak i jej pełną
żadnych okien, dokumentów lub przedstawiających sobą różne analizę z użyciem dostępnych
programów. Każda zmiana stanu możliwości. Wśród nich warto spojrzeć na skryptów.
systemu ma wpływ na zwartość przedstawione w Tabelce 1 popularne i
pamięci. przetestowane rozwiązania. Akwizycja pamięci
" Staraj się wykonać akwizycję w Wybór odpowiedniego narzędzia
jak najmniejszej ilości kroków. Miej " FastDump  został napisany przez w zależności od wersji i składników
narzędzia uprzednio przygotowane. HBGary, firmę specjalizującą się w systemu to najważniejszy element
" Pamiętaj, aby nośnik na który narzędziach analizy pamięci, wraz procesu akwizycji. W poniższym
wykonujesz zrzut pamięci był większy z profesjonalnym programem do przykładzie do zapisania obrazu
niż zainstalowana w docelowej badania pamięci (Responder) z pamięci zastosowano nośnik USB i
maszynie ilość pamięci (jedynie wykorzystaniem mechanizmu DNA. program WinEn do wykonania akwizycji
WinEn daje możliwość kompresji, W wersji darmowej jest zubożony o na systemie testowym. Narzędzie do
jednak nie zalecamy jej stosowania). bardziej złożone funkcjonalności. akwizycji uruchomiono z napędu CD-
" Dla pewności, w celu uniknięcia " WinEn.exe jest narzędziem płatnym ROM. W stanie systemu widocznym
wymieszania danych w sytuacjach jednak został dołączony do Helix od na poniższym ekranie, za pomocą
nieprzewidzianych, stosuj odrębny wersji 2.0. Wykonuje kopie binarne polecenia & wykonano akwizycję
nośnik na plik kopii, a przed użyciem pamięci w formacie EnCase z pamięci.
wyzeruj całkowicie przygotowaną na możliwością kompresji wersja Zapis pamięci, w zależności od
nim partycję. dystrybuowana z Encase 6.12 pojemności, trwa dłuższą chwilę.
" Używaj wyłącznie zaufanych narzędzi. wspiera również sumę kontrolną Większość prezentowanych tu
Im mniej pamięci alokuje narzędzie SHA-1. programów posiada indykator progresu.
tym lepiej. Przykładowo Nigilant32 " Mantech Memory DD lub MDD Część z nich automatycznie, w trakcie
(obecnie beta) zajmuje mniej niż 1Mb  proste narzędzie wykonujące tworzenia, wylicza hash (MD5, SHA)
pamięci, a Helix już ok 18Mb. Dzięki kopie binarne w formacie RAW lub obrazu. Wyliczony ponownie hash,
temu pozostawisz mniej własnych DD. jeśli jest niezmieniony, może być
śladów w pamięci. " Win32dd  dobrej klasy narzędzie dowodem autentyczności i wierności
" Staraj się ustalić dokładną wersję do wykonywania kopi pamięci w kopii w protokole zabezpieczania. Nie
systemu operacyjnego. Ustalenie formacie RAW, DD lub WinDbg. wszystkie programy do akwizycji mają
tego faktu jest znacznie łatwiejsze w " Mandiant Memoryze  Mandiant taką możliwość. Konieczne może być
działającym systemie niż z wykonanej jest jedną z bardziej znanych firm wówczas zastosowanie dodatkowego
kopii binarnej pamięci, a informacja wyspecjalizowanych w narzędziach narzędzia do wyliczenia sumy
ta może być przydatna w trakcie incident response. Memoryze kontrolnej.
analiz. wykonuje kopie w formacie DD lub Tak wykonana kopia pamięci
RAW. w dalszej części analiz stanie się
Narzędzia do akwizycji " Encase jest złożoną platformą materiałem oryginalnym. Zamrożony
W sieci dostępnych jest sporo analityczną. Encase pozwala stan systemu jest niepowtarzalny i
narzędzi do akwizycji pamięci RAM, zarówno na wykonywanie kopii jakikolwiek błąd może nas kosztować
Tabela 1. Wybrane programy do akwizycji pamięci RAM
FastDump FastDump WinEn MDD Memoryze Win32DD Encase
Pro Community WinEn64
Producent HBGary HBGary Guidance ManTech Mandiant Mattieu Suiche Guidance Software
Software
Licencja Free Płatna Płatna Free Free GNU Płatna
64bit Nie Tak Tak Nie - - Tak
>4Gb Nie Tak Tak - - - Tak
Win 2008 Nie Tak - - - Tak Tak
serwer
Win 2003 Nie Tak Tak Tak Tak Tak Tak
serwer
Win XP Tak Tak Tak Tak Tak Tak Tak
Vista Nie Tak Tak Tak SP1 Tak Tak
10/2009 HAKIN9 69
PRAKTYKA
utratę ważnych dowodów. Dlatego, prowadzona wyłącznie na dodatkowej pozwalające na akwizycję pamięci
zgodnie z zasadami informatyki kopii. poprzez sieć komputerową.
śledczej (również incydent response), Warto w tym miejscu wspomnieć, Przykładem może być tu F-Response,
prawidłowa analiza powinna być iż dostępne są również rozwiązania pozwalający na zdalny dostęp do
systemu w trybie read-only, w tym
również do pamięci operacyjnej. F-
Response tworzy środowisko, w którym
możliwe jest stosowanie rozwiązań
zewnętrznych np. do wykonywania kopii
I analiz.
Jeśli komputer
jest zablokowany
Jeśli zablokowany komputer z systemem
2000/XP/Vista posiada port firewire
(wbudowany lub w wymiennej karcie
PCMCIA) możesz wykorzystać dostępne
od Helix 1.9 narzędzia i przejąć nad
nim kontrolę używając winlockpwn,
który wykorzystuje lukę w specyfikacji
IEEE 1394, umożliwiając spatchowanie
procesu logowania w pamięci i
Rysunek 1. Stan systemu przed akwizycją
zalogowanie się do systemu bez
znajomości właściwego hasła.
Proces wymaga przyłączenia
przez firewire drugiego komputera
z uruchomionym systemem Unix/
Linux i załadowanymi bibliotekami
pythonraw1394, zawierającymi romtool
(emuluje IPod na firewire) i skrypt
winlockpwn.py. Helix LiveCD od wersji
1.9 jest już odpowiednio przygotowany.
Wystarczy, że uruchomisz romtool
i winlockpwn. Atakowany system
pozwoli na odblokowanie konsoli bez
znajomości hasła.
Dostępne od Helix 1.9 narzędzia
Rysunek 2. Proces akwizycji
Adama Boileau pozwalają również na
zimagowanie zawartości pamięci bez
zalogowania się do systemu. Program
1394memimage pozwala na zrzut
pamięci ofiary na dysk usb. Dzięki temu
możliwe jest np. pozyskanie właściwego
hasła konsoli.
Jeśli port nie jest dostępny
to najlepszym rozwiązaniem jest
reboot systemu oraz uruchomienie
alternatywnego systemu operacyjnego,
z małymi potrzebami alokacji (syslinux),
a następnie niezwłoczny zrzut
zawartości pamięci (np. za pomocą
Msramdmp).
Princeton research (http:
//citp.princeton.edu/memory/)
Rysunek 3. Zawartość notepad (analiza za pomocą EnCase)
opisało również proces związany z
70 HAKIN9 10/2009
AKWIZYCJA I ANALIZA PAMI
CI
pozyskiwaniem informacji z systemów, na rozwiązaniach, które muszą Dlatego oprócz rozwiązań
po ich wyłączeniu. Przedstawionego pracować w środowisku, co do softwarowych istnieją również
doświadczenia nie udało nam się którego nie możemy mieć zaufania dedykowane rozwiązania sprzętowe,
powtórzyć w warunkach laboratoryjnych,  kernel systemu operacyjnego wykorzystujące bezpośredni dostęp
jednak możliwe jest, iż ma on związek maszyny, w której tworzymy kopię do pamięci poprzez mostek PCI.
z zastosowaną pamięcią lub innymi pamięci. Z jakiegokolwiek nośnika Rozwiązania takie nie opierają się o
czynnikami. nie uruchomilibyśmy programu, jakikolwiek składnik systemu, jednak
nie ma możliwości całkowitego wymagają wcześniejszej instalacji
Inne problemy wyeliminowania roli kernel, ponieważ odpowiedniej karty, co nie zawsze jest
Część narzędzi służących do system musi mieć kontrolę nad możliwe.
wykonywania kopi binarnej RAM przepływem danych. Możliwym
przygotowana jest do pracy w rozwiązaniem jest spatchowanie Narzędzia analityczne
podstawowych konfiguracjach XP32/ niezbędnych elementów kernel i Ze względu na zaawansowanie
>4Gb pamięci. W niektórych działaniach zastąpienie ich zaufanymi. Mechanizm użytkowników, większość dostępnych
mamy jednak do czynienia z systemami ten wykorzystują niektóre złośliwe narzędzi analitycznych nie posiada
64-bitowym lub większą ilością kody. Jednak problemem może interfejsu GUI. Wymagana jest tu
pamięci. Zastosowanie niewłaściwego być zdolność skompromitowanego często znajomość złożonych poleceń,
rozwiązania może w takiej sytuacji systemu do obrony przed takimi używanych z wiersza poleceń. Dostępne
doprowadzić do crash systemu, co operacjami, a ustalenie stanu zaufania narzędzia posiadające GUI są na ogół
może nie być pożądane. Najbezpieczniej systemu nie będzie możliwe, co w płatne. Z przyczyn oczywistych łatwiej
stosować wtedy FastDump Pro lub konsekwencji może doprowadzić do jest również odnalez
ć narzędzia do
EnCase WinEn. Niestety są to płatne crash w trakcie akwizycji pamięci lub analizy zrzutów Windows. Poszukując
programy. pozyskania spreparowanej kopii, nie właściwego dla siebie rozwiązania
Nie zawsze również mamy zawierającej żadnych śladów infekcji warto przetestować kilka narzędzi.
możliwość bezpośredniego (zob. Shadow Walker Rootkit). W Tabelce 2 przedstawiono kilka
przyłączenia się do badanego systemu. Nie bez znaczenia jest również wybranych.
W takiej sytuacji przydatne okazują fakt, że zaangażowanie systemu w
się Helix i Netcat lub F-Response, proces wykonania programu do " BinText jest małym programem,
a w bardzo zaawansowanych akwizycji danych powoduje konieczność pozwalającym na wydobywanie
rozwiązaniach EnCase Enterprise. alokacji przestrzeni dla zastosowanego ciągów ASCI lub UNICODE z
rozwiązania, a tym samym istnieje plików binarnych. Posiada bardzo
Ograniczenia ryzyko nadpisania istotnej zawartości. użyteczne mechanizmy filtrowania i
akwizycji softwarowej Można to porównać do instalowania wyszukiwania informacji. Dzięki temu
Akwizycja pamięci operacyjnej oprogramowania do odzyskiwania możliwe jest szybkie wydobywanie
działającego komputera, za danych na dysku, z którego chcemy tekstów np. z zawartości otwartych
pomocą oprogramowania, bazuje odzyskać dane. okien.
Tabela 2. Wybrane narzędzia stosowane w analizie pamięci
BinText EnCase Responder Volatitity Memoryze
Producent Foudstone Guidance Software HBGary Volatile Systems Mandiant
Licencja GPL Płatna Płatna GPL GPL
Platforma Windows Windows Windows Windows Windows
Format i pochodzenie analizowanych kopi binarnych
Vista Tak Tak Tak Nie Nie
XP Tak Tak Tak SP2&SP3 SP2&SP3
2008 - Tak Tak Nie -
2003 - Tak Tak Nie SP2
64 bit - Tak Tak Nie Nie
Akceptowane RAW EnCase, RAW RAW RAW, Hiber File, Crash RAW
obrazy Dump
Inne możliwości Tworzy hasła listy do Dostępne skrypty Współpraca z Wiele dostępnych Może być użyty z
ataku EnCase pluginów EnCase
10/2009 HAKIN9 71
PRAKTYKA
" Encase  złożona platforma systemie, jego historii i działaniach są zapisywane. W zależności od ilości
analityczna, pozwalająca na użytkownika. Jej zawartość może być zainstalowanej pamięci i intensywności
wyszukiwanie i ekstrakcję dowolnych zasadniczo analizowana podobnie pracy systemu, przechowywane
informacji w tym z użyciem skryptów. jak obraz np. dysku twardego, jednak informacje mogą pochodzić z wielu dni
W połączeniu HBGary Responder można w niej odnalez
ć informacje, które  praktycznie od ostatniego włączenia
daje duże możliwości analityczne. na dysku twardym praktycznie nigdy nie systemu. Dla przykładu w wyniku analizy
" HBGary Responder  jedno
z bardziej zaawansowanych
narzędzi dostępnych na rynku,
z możliwościami automatycznej
analizy kodów i wykrywania malware
na podstawie obrazu pamięci i
zawartych w niej kodów aplikacji
(mechanizm DNA).
" Volatility Framework  bazuje na
Python. Jest kolekcją narzędzi
pomocną w wydobywaniu artefaktów,
takich jak uruchomione procesy,
połączenia sieciowe, otwarte klucze
rejestru, itd.
" Mandiant Memoryze  element
zestawu narzędzi, służących do
analiz powłamaniowych, reverse
engeenieringu, analizy malware.
Pozwala pozyskiwać informacje
Rysunek 4. Odwiedzane strony internetowe. Analiza za pomocą NetAnalysys i skryptu
o uruchomionych procesach,
EnCase
połączeniach sieciowych, driverach (w
tym ukrytych).
Przedstawione powyżej narzędzia
są uniwersalne i stosunkowo proste
w zastosowaniu. Rozwiązań, w tym
również dedykowanych do konkretnego
problemu, jest jednak znacznie
więcej. Istotne jest również, że każdy z
popularnych programów typu forensic
(EnCase, FTK, XWays), po zamontowaniu
obrazu tak samo, jak w wypadku kopi
binarnej dysku twardego, pozwoli nam
na badania pod kontem występowania
słów kluczowych, odwiedzanych stron
internetowych, raw recovery, itd.
Analiza pamięci
Pamięć operacyjna może być cennym
z
ródłem informacji o badanym Rysunek 5. Uszkodzone zdjęcie wydobyte z pamięci
Ślady w pamięci
Każde zastosowane w działającym komputerze narzędzie pozostawia w pamięci własne ślady. Pamiętajmy, że w zależności od danej sprawy,
zgromadzone przez nas informacje mogą stać się dowodami w sądzie, nawet jeśli tego nie zakładamy (np. zwolniony na ich podstawie nieuczciwy
pracownik uda się do sądu pracy). Pozostawienie śladów w pamięci może wymagać dodatkowych wyjaśnień, a wypowiadający się w danej
sprawie biegły może zwrócić na nie uwagę. Dlatego zabezpieczając jakiekolwiek dane informatyczne, zawsze warto posługiwać się protokołem
zabezpieczania, w którym należy odnotować dokładny czas, miejsce, dokładny przebieg kopiowania i opis zastosowanego narzędzia (nazwa,
wersja, itd.).
72 HAKIN9 10/2009
AKWIZYCJA I ANALIZA PAMI
CI
możemy odnalez
ć (aktualny stan Przykładowo, na ekranie stanu ciągły. Zarządzanie pamięcią systemu
systemu i zdarzenia przeszłe): pierwotnego systemu widoczny jest używa wirtualnej metody adresowania
prosty tekst wpisany w notepad, który (można to przyrównać do systemu
" Uruchomione procesy: nie został jeszcze zapisany do pliku, plików), co może powodować
" wszelkiego typu malware oraz strona internetowa. Analiza za fragmentację pamięci. Dodatkowo
 rootkity i trojany. pomocą EnCase pozwala łatwo pamięć znajduje się w stanie ciągłej
" Otwarte pliki: odnalez
ć zawartość okna notepad zmiany i strony pamięci mogą zostać
" edytowane dokumenty, nawet nie w pamięci, a także przeanalizować przemieszczone lub usunięte nawet
zapisane, historię internetową (Rysunek 3 i w trakcie procesu akwizycji. Część
" pozostałości emaili, nawet Rysunek 4). informacji może znajdować się również
pochodzących z poczty WWW, Badając zawartość pamięci warto w systemowym pliku wymiany, który nie
" zawartość stron internetowych, pamiętać, że oprócz wykonanego stanowi elementu wykonanego zrzutu.
nawet szyfrowanych, obrazu podobnym z
ródłem informacji Dlatego np. pozyskane z pamięci
" otwierane obrazy. są wszelkie pliki związane z pamięcią obrazy mogą być niekompletne, jak na
" Połączenia sieciowe i otwarte porty. (swap, hiberfil, itd) oraz zrzuty pamięci Rysunku 5.
" Otwarte klucze rejestru. jak np. plik crash dump systemu. Zrzut Głęboka znajomość sposobu i zasad
" Informacje związane z taki stanowi zawartość pamięci w stronicowania pozwala na znalezienie
uruchomionymi aplikacjami (np. momencie padu systemu. Nie każda odpowiednich pointerów i odtworzenia,
aktywne rozmowy komunikatorów). wersja systemu generuje plik crash przynajmniej częściowo, alokacji danych,
" Bufory związane z ekranem, klawiaturą, oraz różna może być jego zawartość, jednak jest to trudne i różne w zależności
dyskiem itd. (np. rekordy MFT). jednak warto zwracać uwagę na jego od systemu operacyjnego, a nawet jego
" Hasła zapisane w sposób jawny. występowanie np. w kopiach binarnych wersji.
" Informacje związane z BIOS. dysków twardych.
" Inne informacje systemowe. Istotnym elementem wszelkich Podsumowanie
analiz jest fakt, że dynamicznie Ze względu na swoją ograniczoną
W zależności od danego incydentu alokowana pamięć nie musi objętość, niniejszy artykuł porusza
złożoność analiz może być różna. przechowywać danych w sposób jedynie podstawowe kwestie w
złożonej tematyce akwizycji i analizy
pamięci. Rozległość tematu zachęca
W Sieci
jednak do samodzielnych poszukiwań.
Dostępne obecnie narzędzia są coraz
Blogi
bardziej dostępne i wszechstronne,
" http://computer.forensikblog.de/en/,
a możliwości stosowania środowisk
" http://www.volatility.tumblr.com,
wirtualnych i symulowania różnorakich
" http://www.volatilesystems.blogspot.com,
zdarzeń zdejmują z nas większość
" http://www.forensickb.com,
ograniczeń. Większość popularnych
" Brian Kaplan: Pozyskiwanie klucza szyfrującego z pamięci, xhttp://www.andrew.cmu.edu/
user/bfkaplan, narzędzi jest intensywnie rozwijana
" http://www.mcgrewsecurity.com.
i w przyszłości zapewne będą one
coraz łatwiejsze w użyciu. Jednak ich
Oprogramowanie
właściwy dobór i stosowanie wymaga
" MDD: www.mantech.com,
od analityka/śledczego stałego
" Win32DD: www.win32dd.msuiche.net,
pogłębiania wiedzy i testowania
" Fast Dump: www.hbgary.com,
rozwiązań. Szczególnie cenne są
" EnCase: www.encase.com.
tu wszelkiego rodzaju fora i blogi
Inne
internetowe, gdzie można wymieniać
swoje doświadczenia.
" www.iis.org.pl/forum.
Przemysław Krejza
Dyrektor ds. badań i rozwoju w Mediarecovery,
Zanim odłączysz przewód
największej polskiej firmie zajmującej się informatyką
Wyłączenie zasilania komputera niechybnie prowadzi do bezpowrotnej utraty zawartości śledczą. Prawnik, informatyk. Wcześniej 8 lat na
stanowiskach zarządzania działem odzyskiwania
pamięci. W zależności od incydentu oczywiście może to być bez znaczenia, jednak proces
danych. Autor publikacji na tematy związane
ten jest na tyle łatwy, że warto go wykonywać rutynowo dla każdego włączonego systemu
informatyką śledczą i odzyskiwaniem danych.
podlegającego analizie. Zasady informatyki śledczej (patrz iis.org.pl) nakazują zabezpieczanie
Prelegent wielu konferencji i seminariów. Od kilku
miesięcy prezes Stowarzyszenia Instytut Informatyki
danych od najbardziej ulotnych (pamięć RAM), aż po najmniej ulotne (dysk twardy). Tak więc
Śledczej.
jeśli istnieje taka możliwość, przed wyłączeniem komputera wykonaj zrzut pamięci!
Kontakt: biuro@mediarecovery.pl
10/2009 HAKIN9 73