Skip to content

Análisis forense de la memoria física en sistemas Windows

Publicado por Sergio Hernando el 29 Marzo 2006

Interesantísimos artículos sobre análisis de memoria en sistemas Windows. Ambos proceden de un blog muy bueno llamado Windows Incident Response, cuya temática es el análisis forense y la respuesta ante incidentes en sistemas Windows.

El artículo está dividido en dos partes: Windows Physical Memory Analysis y Windows Physical Memory Analysis, pt II.

El desarrollo de los textos es algo complejo, pero a su vez, instructivo e interesante, sobre todo para los que no tenemos experiencia en la forensia de sistemas Windows :)

Mediante el análisis de los volcados de memoria de ciertos procesos, es posible comprender su comportamiento, estudiando valores como FLINK/BLINK (punteros a bloques EPROCESS anteriores y posteriores respectivamente), localización en el mapa de memoria del Process Environment Block (PEB), si ha sido o no invocada la salida, fecha y hora de creación del proceso, etc. Esto es especialmente útil cuando se trata de procesos "caja negra" en los que sólo se conocen las entradas y las salidas, pero no el funcionamiento exacto. Mediante estos análisis es posible deducir el comportamiento mediante la observación de los parámetros de entrada y salida.

Interesante.

Be Sociable, Share!

Categoría/s → Forensics

Sin comentarios

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continua navegando esta dando su consentimiento para la aceptacion de las mencionadas cookies y la aceptacion de nuestra politica de cookies, pinche el enlace para mayor informacion.plugin cookies

ACEPTAR
Aviso de cookies