Análisis forense de la memoria física en sistemas Windows

Interesantísimos artículos sobre análisis de memoria en sistemas Windows. Ambos proceden de un blog muy bueno llamado Windows Incident Response, cuya temática es el análisis forense y la respuesta ante incidentes en sistemas Windows.

El artículo está dividido en dos partes: Windows Physical Memory Analysis y Windows Physical Memory Analysis, pt II.

El desarrollo de los textos es algo complejo, pero a su vez, instructivo e interesante, sobre todo para los que no tenemos experiencia en la forensia de sistemas Windows :)

Mediante el análisis de los volcados de memoria de ciertos procesos, es posible comprender su comportamiento, estudiando valores como FLINK/BLINK (punteros a bloques EPROCESS anteriores y posteriores respectivamente), localización en el mapa de memoria del Process Environment Block (PEB), si ha sido o no invocada la salida, fecha y hora de creación del proceso, etc. Esto es especialmente útil cuando se trata de procesos «caja negra» en los que sólo se conocen las entradas y las salidas, pero no el funcionamiento exacto. Mediante estos análisis es posible deducir el comportamiento mediante la observación de los parámetros de entrada y salida.

Interesante.