imaging van volatile info

[Dutch]

Dag All,

Ik ben nieuw op dit forum. In mijn voorbereiding voor mijn examen blijft me een onderdeel onduidelijk, te weten het imagen volatile informatie (RAM, register, processen) van een powered on machine. An sich is dit geen probleem met de juiste tools.

Maar stel nu dat de machine in screensave mode is gevallen en dat om de machine weer terug in active mode te krijgen het noodzakelijk dat een password wordt ingegeven door de user. Echter dat is niet bekend en de user is niet aanwezig.

Is het uberhaupt mogelijk en op welke wijze en met welke tools, om gegeven de situatie, het volatile info te bekomen?

Alvast bedankt voor uw reacties,

Dutch

[libris]

Er bestaan scripts om via FireWire deze computer weer te unlocken, winlockpwn heet dit. Echter zijn deze scripts niet up to date. Volgensmij gaan die maar tot windows XP, ze zitten onder andere in de Helix CD, backtrack heeft ze waarschijnlijk ook wel.

Verder kan je gebruik maken van de cold boot attack om het ram te dumpen. De tools hiervoor zijn hier te downloaden:
To view this link please Register
Deze tools moeten gedownload worden en gecompileerd worden op je USB stick. Hierdoor heb je de mogelijkheid om het geheugen te imagen. Er zit een uitgebreid PDF bestand bij deze website.

Hier wat filmpjes e.d.:
To view this link please Register

[Dutch]

De cold boot attack is me bekend! Bedankt voor de references!!
Maar deze methode zal alleen zorgen voor het kunnen dumpen van de gegevens in RAM (zolang de stick niet ontdooit voordat hij in een andere pc zit ha ah)! De overige volatile items, zoals processen, connecties etc worden hiermee niet gedumpt.

Met betrekking tot de scripts in Helix CD en in BackTrack betreffen mijn inziens scripts en tools om het paswoord om de computer op te starten (bios password) te omzeilen en niet het password van de user. Ik kan me hierin vergissen, dit moet ik nakijken!!

Het kan natuurlijk zijn dat daarvoor geen oplossing is en dat in het door mij geschetste geval het volatile memory en overige gegevens niet kunnen worden veilig gesteld voor forensic onderzoek. Tijdens mijn voorbereiding voor het examen hield dit me gewoon bezig. Dus ik dacht, dan posten we het maar. Kijken wat voor feedback ik krijg.

[libris]

Als je die USB stick compileerd, vervolgens de computer reboot zo snel mogelijk (door de stekker eruit te trekken) en dan opstart van de USB stick. Dan dumpt hij het ram geheugen op deze USB stick. Vervolgens maak je een image van de USB-stick. Dan heb je een image van het RAM.

Vervolgens kan je met volatility de processen uit de image carven en nog veel meer informatie:

• Image date and time
• Running processes
• Open network sockets
• Open network connections
• DLLs loaded for each process
• Open files for each process
• Open registry handles for each process
• A process' addressable memory
• OS kernel modules
• Mapping physical offsets to virtual addresses (strings to process)
• Virtual Address Descriptor information
• Scanning examples: processes, threads, sockets, connections,modules
• Extract executables from memory samples
• Transparently supports a variety of sample formats (ie, Crash dump, Hibernation, DD)
• Automated conversion between formats

Dit zit standaard in volatility, maar er zijn veel mensen die plugins hebben geschreven om er nog meer uit te halen. Deze plugins zijn simpel te installeren bij volatility.

En die scripts, zijn wel geschikt om een gelockte computer te unlocken, het wachtwoord daarvan dus. Verder heb je nog een CD genaamd Kon-Boot. Kon-Boot logt in op een computer, maakt niet uit of er een wachtwoord op staat.

[Dutch]

Chapeau!!!

Met de tool Volatily ( To view this link please Register ) is het inderdaad mogelijk om al deze gegevens uit een RAM image te halen. Dit was me niet bekend. Ook de tool was me niet bekend. Ik zal de tool zeker uitproberen na mijn examen.
Is deze standaard opgenomen in een distro of moet ik de tar file downladen en zelf installeren?

Met betrekking tot de mogelijkheid van het dumpen van de RAM na reboot, was me ook niet bekend. Ik was altijd van mening dat de gegevens in de RAM bij het ontbreken van electriciteit verloren zouden zijn. Dit door het ontbreken van voeding. Dit in tegenstelling tot de gegevens in CMOS die gevoed blijven door de batterij. Nu begrijp ik van je dat de gegevens aanwezig blijven voor een beperkte periode, de tijdspanne tussen electriciteit eraf halen en het gereed zijn van het systeem na reboot. Nieuw voor me! Ik ga ervan uit dat hierbij geen gebruik wordt gemaakt van het freezen van de chip / RAM.

[libris]

Geen freezen oid voor nodig. Maar het is wel vereist om zo spoedig mogelijk de stroom er weer op te zetten zodat je RAM zoveel mogelijk in tact blijft. De inhoud gaat er geleidelijk uit en niet direct.
De foto op die princeton site geeft dit heel duidelijk aan.

Helix heeft dit zeker weten, voor de rest iedere forensische distributie wel denk ik. Backtrack weet ik niet, denk het wel aangezien die zich ook een klein beetje focussen op forensics.

[Dutch]

Thanks for your quick reply!!

Morgen ga ik Helix installeren in VM.