Les objets \\.\PhysicalMemory et \\.\DebugMemory sont des données brutes bas niveau. Microsoft génère une image d'un de ces objets lors d'un crash dump sous un format propriétaire destiné au débogage. La structure de ces images a été décrite par Andréas Schuster dans l'article dmp_file_structure.html.
Contrairement aux images générées par l'outil dd, on peut les analyser à l'aide des outils de débogage de Windows disponibles ici et des symboles correspondants au système d'exploitation de l'image (que j'ai dû télécharger car je n'étais pas alors directement connecté à Internet... )
Pour trouver les processus camouflés par les outils anti-forensiques ou les derniers Troyans (afin de tromper les techniques DKOM : Direct Kernel Object Manipulation), le meilleur outil que j'ai trouvé est hidden de Mariusz Burdach.
Il faut le lancer dans le débogueur avec la commande !c:\chemin_de_hidden.dll\hidden.allprocesses après avoir lancer un enregistrement du résultat.
Par exemple, si, au cours d'une analyse, vous trouvez la dll d'un processus caché qui se nomme metsvr.dll ou extXXXXX.dll (où les X sont des caractères aléatoires), vous avez découvert une trace flagrante du Meterpreter de Metasploit ! Nous verrons cela dès que j'aurai remis la main sur une telle image...
Contrairement aux images générées par l'outil dd, on peut les analyser à l'aide des outils de débogage de Windows disponibles ici et des symboles correspondants au système d'exploitation de l'image (que j'ai dû télécharger car je n'étais pas alors directement connecté à Internet... )
Pour trouver les processus camouflés par les outils anti-forensiques ou les derniers Troyans (afin de tromper les techniques DKOM : Direct Kernel Object Manipulation), le meilleur outil que j'ai trouvé est hidden de Mariusz Burdach.
Il faut le lancer dans le débogueur avec la commande !c:\chemin_de_hidden.dll\hidden.allprocesses après avoir lancer un enregistrement du résultat.
Par exemple, si, au cours d'une analyse, vous trouvez la dll d'un processus caché qui se nomme metsvr.dll ou extXXXXX.dll (où les X sont des caractères aléatoires), vous avez découvert une trace flagrante du Meterpreter de Metasploit ! Nous verrons cela dès que j'aurai remis la main sur une telle image...
Articles
Aucun commentaire:
Enregistrer un commentaire