Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)
 Autor
|
Tema: Como ver datos guardados en la RAM?? (Leído 4,337 veces)
|
foxerman
 Desconectado
Mensajes: 1
|
Buenas Tardes.
Acaso existe alguna forma de ver los datos almacenados en la memoria RAM.
Cuando tu ingresas una contraseña y aceptas, acaso esa informacion es enviada a la RAM o donde se guarda.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal.
Bueno, la data ( AKA password ) se podria leer en un sistema como GNU/Linux desde el dispositivo tipo character como la memoria RAM ( /dev/mem ) con cat. Strings usare para este ejemplo para quedarnos con el texto plano de la data.
Por ejemplo: ( como root )
# strings /dev/mem | grep "mipassword"
si aun esta en RAM veras como la podras ver.
La memoria virtual es entendida como swap ( en windoze pagefile.sys ) + memoria fisica o RAM.
En windoze podemos aumentar la memoria virtual retocando la capacidad del archivo de paginacion ( C:\pagefile.sys ) con el programa dedicado que reside en
Mi Pc -> "Ver informacion del sistema" -> "Opciones Avanzadas" -> "Rendimiento" -> "Opciones Avanzadas" -> "Memoria Virtual"
Ahi presionas "Cambiar" y puedes cambiar el tamaño del pagefile.sys, archivo que conjunto a la RAM conforma lo que se conoce como memoria virtual.
Que ocurre con todo esto? Que dces!?
Pues nada, que los S.Os modernos hacen uso de esta "tecnica" llamada memoria virtual para almacenar data. Para que? Pues aumentar la capacidad virtual de la memoria como conjunto.
Es decir, si tienes abiertas 12 aplicaciones y tu RAM se empieza a agotar, el S.O cogera parte del disco duro a modo de RAM. Cabe decir que las escrituras en Disco son muuucho mas lentas que en RAM y por ello, es mas fiable una buena RAM ( DDR2! ) .
Como indique antes, con Linux podemos acceder a la RAM via el character device /dev/mem directamente. Windoze no te deja hacer casi nada. Por ello recomiendo un sistema Operativo como Linux.
Se puede acceder a los datos? Pues claro, te lo acabo de mostrar!
Y .. y si se escribe data realmente comprometida en el swap ( Linux ) o el pagefile.sys!!??
Y .. y si esa data comprometida puedo verla con cat!!
Y .. si cojo, me voy a Linux ( dual boot system ) y monto la particion de Windoze y.. y hago un
# strings /particion_Windoze/pagefile.sys
????! Podre ver la data que se escribio en el archivo de paginacion en el sistema Windoze??!
Pues tambien. Gran parte de aplicaciones que manejan data "comprometida" pueden tomarse la delicadeza de decidir que data se escribe en la swap||pagefile.sys y que no, asi como el propio S.O el proteger dicha data.
Otras muchas no protegen esa data. En Windoze hay una opcion configurable en el registro que permite tunnear el pagefile.sys y su seguridad. Creo que una era el borrar los datos del pagefile.sys tras en el shutdown del equipo. Por defecto Windoze no lo borra, asi que paar proteger la data seria necesario tunnear al menos esa opcion.
No creo que windoze escriba la Pass de login en el archivo de paginacion, pero es divertido el mirar y hurgar :___).
Una aplicacion que la accede muy a menudo son los AVs. Asi pues veras seguramente entradas escritas por el AV del sistema Windoze ( if (windoze doesn't have AV ) { u r in dager! } ).
Saludos.
|
|
|
|
« Última modificación: 4 Septiembre 2009, 23:53 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Salvo todo esto .. puedes hacer uso de herramientas de volcado de memoria, como puede ser User Mode Process Dumper, Win32dd, procdump, e incluso en Vista y Win 7 tienes una utilidad en el taskmgr que te permite realizar un volcado de memoria de un proceso: Ej de esto último: En definitiva, utilidades como esta las hay por todos lados y con los permisos necesario nada te impide hacerte con un dump de la memoria, pero de cualquier manera esto no te asegura que encuentres una pass en texto plano, y es más ... seguro que no lo haces  Saludos |
|
|
|
« Última modificación: 3 Septiembre 2009, 22:25 por Novlucker »
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
TRICKY
|
Esas toolos las conoce hasta mi abuela!
Pero no deja de ser totalmente de 3os.
Windoze de por si es un juguete.
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Como que no? procdump por ejemplo es de Microsoft, después de todo compraron Sysinternals XD
En definitiva foxerman, ya tienes por donde empezar, y saludos Averno!
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
kamsky
|
Bueno, esas herramientas no están mal y tal, pero....  excelente herramienta usada para el análisis forense de Rams... ir abriendo boca, dentro de poco habrá algo del tema como prometí.. |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Bueno, esas herramientas no están mal y tal, pero.... Pero hay que tener en cuenta algo, esas herramientas son para la creación del volcado de memoria, y volatility es más como un parser orientado a obtener información de esos volcados, así que vendrían a ser complementarias. Por otra parte, ahora que me doy cuenta me olvidé de mdd, aunque bueno, son tantas (gracias!) las herramientas que se pueden encontrar de este tipo  Saludos
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
TRICKY
|
Que tal Nov!? Hehehe.. si sabes que es por meterme con Microsoft!! Saludos! Y kamsky.. estamos impacientes por el tuto de forensics!!
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
traxtor
|
Hola En primer lugar agradecerle a kamsky las referencias a mi blog, para mi es todo un honor. Siguiendo con volatility aqui esta todo lo que he escrito sobre el hasta el momento: http://neosysforensics.blogspot.com/search/label/volatilitySaludos PD: lo de postear enlaces a mi blog no es solo por acrecentar mi ego, agradecere enormemente cualquier modificacion y/o correccion  |
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
SPAM!  Naaaah! XD ... hace tiempo que tu blog esta entre mis fuentes del Reader, así que para cuando la parte 3 de "Análisis de un caso ¿real?" ? Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
traxtor
|
Me alegro que te guste el blog. Respecto a lo de la tercera parte ... teniendo en cuenta que el curro no me deja mucho tiempo, que me gusta documentarme lo mejor posible y que el articulo que tengo en mente es bastante complicado creo que todavia le queda un poco, pero casi estoy seguro de que te gustara tanto o mas que los anteriores  Saludos |
|
|
|
|
En línea
|
|
|
|
|
|
miguel86
Desconectado
Mensajes: 258
|
Que ocurre con todo esto? Que dces!?
Pues nada, que los S.Os modernos hacen uso de esta "tecnica" llamada memoria virtual para almacenar data. Para que? Pues aumentar la capacidad virtual de la memoria como conjunto.
Es decir, si tienes abiertas 12 aplicaciones y tu RAM se empieza a agotar, el S.O cogera parte del disco duro a modo de RAM. Cabe decir que las escrituras en Disco son muuucho mas lentas que en RAM y por ello, es mas fiable una buena RAM ( DDR2! ) .
Quiero puntualizar, porque he visto en otro post hablando de la swap también equivocadamente. LA memoria virtual no aumenta la capacidad de la RAM, ni coge parte del disco duro a modo de RAM, lo lento de la memoria virtual el intercambio de páginas. La memoria virtual (técnica antigua) sirve para programas cuyo código contempla más direccionamiento del dado por la ram, entonces se establece un mapa cuyo direccionamiento es mayor usando el disco duro, pero los procesos siguen teniendo 512MB de RAM o lo que haya, no tienen más, ni cuando necesiten más escriben en el disco duro como si fuera RAM, eso es falso. Cuando se hace referencia a una dirección dentro del mapa virtual y esa dirección es de una página que no está en la RAM, se saca una página de la RAM y se intercambia por otra en el hd, es decir tienes 512mb siempre de RAM, sólo que las vas intercambiado en un "sumidero" para así ofrecer más direccionamiento a un programa (pero ofrecer más direccionamiento no significa que haya más direccionamiento usable por los programas, desde el punto de vista de un programa puede hacer referencia a un direccionamiento que la ram no tiene (juegos y programas de muchas líneas de código lo hacen) pero la ram es la que hay sólo se saca un bloque (página) de la Ram y intercambia por otro cuando hay fallo de página, pero la capacidad de RAM no aumenta, ni se usa la el hd como si fuese RAM. Es decir para usar una página en el hd hay que copiarla en la RAM (y sacar otra página de la ram), no se utiliza el hd como ram. Sí tu tienes 12 aplicaciones abiertas y te falta RAM, la memoria virtual no va a hacer que tengas más memoria para esas aplicaciones, el rendimiento va a ser el mismo corras 15 aplicaciones o 5 si te falta RAM, la memoria virtual aumenta tu rendimiento según la configuración que tengas para la memoria virtual de manera que haya el menor número de fallo de páginas posibles, y esto sirve para programas como retoque de fotografía o videojuegos que hacen uso de la memoria virtual, también cuando para alojar código de los programas en el hd cuando no existe suficiente memoria RAM para alojar todo el código, pero ojo esto no significa que se utilice el hd como ram el rendimiento cuando te quedan 5mb libres en ram es el mismo utilices memoria virtual o no, sólo que la memoria virtual te permite una extensión virtual de la memoria usable pero no real, si un proceso necesita un dato almacenado en una página alojada en el hd debe copiarse en la ram para ser usada por el proceso.
|
|
|
|
« Última modificación: 8 Septiembre 2009, 17:01 por miguel86 »
|
En línea
|
|
|
|
|
|
miguel86
Desconectado
Mensajes: 258
|
Ya es que mi explicación está un poco liosa, resumiendo la memoria virtual no es que tengas mas RAM que usar, si no que si tu tienes por ejemplo un espacio de 10 mb para almacenar cosas, y tienes un programa cuyo código contempla 15mb, puedes utilizar 5mb del hd, separar los 15mb de la ram+hd en 3 "bloques llamados páginas" de 5mb, meter 10mb del programa en la ram, y cuando el programa haga referencia a una parte del código que está situada en la página que está en el hd, coger sacar una página de la ram (5mb) y sustituirla por la página del hd (5mb) es decir intercambiarlas copiando la página del hd en la ram y escribiendo la que has sacado de la ram al hd. No es como si al utilizar memoria virtual aumentases la ram, si tienes 10mb de ram es lo que tienes para procesos no más, lo utilizable por el proceso ha de estar en la ram y debes copiar lo que esté en el hd en la ram para usarlo.
PD: Yo tampoco fustigo a nadie, no creo que nadie sea un burro por corregir algo. Yo también digo muchas cosas y veo normal que la gente escribe sobre lo que digo para dar su explicación o corregirme.
Salu2
|
|
|
|
« Última modificación: 8 Septiembre 2009, 17:34 por miguel86 »
|
En línea
|
|
|
|
|
 |
