Bulk_Extractor
Desde mi punto de vista y uso personal Bulk_Extractor es una de las mejores herramientas para el análisis forense de volcados de memoria Ram como su principal función ya que aparte del del análisis forense, nos permite recabar datos.
Bulk_Extractor nos permite analizar desde volcados de memoria Ram de un sistema hasta archivos, directorios y lo que hace cómodo su uso o fácil es que de forma automática filtra la informacion guardándola en archivos .txt (archivo de texto)
La informacion que podemos extraer de un análisis de volcado de memoria RAM seria:
- Claves AES
- Direcciones de Correo Electrónico
- Direcciones de dominio
- Direcciones MAC
- Exif de imágenes y segmentos de videos
- Direcciones de IP (Packet Carving)
- Json descargados de webservers o de código fuente
- Cabeceras de Email
- Paquetes TCP
- Números Telefónicos
- URLs en cache de navegación, correo o ejecutables
- Términos utilizados en búsquedas de navegación
- Entradas de directorios Windows FAT32 y NTFS
- Ficheros y fragmentos prefetch de Windows
- Información de archivos .zip
Pero entre todos los resultados que nos puede arrojar es un archivo .pcap que es muy interesante y que contiene mucha informacion interesante.
El análisis del volcado del la memoria RAM de un sistema Windows.
Esta practica comenzara si mostrar el volcado de memoria RAM de un sistema operativo Windows, ya que existen varios programas para realizar el volcado y en este post hablaremos de Bulk_Extractor. El software que utilizaremos es: AccessData FTK Imager.
Este es un vídeo tutorial en donde se realiza el volcado de memoria RAM con el software anteriormente mencionado.
Ahora de se debe aclarar algunos puntos muy importantes, pues para poder realizar esta tarea la computadora no se debe apagar, pues la informacion de la memoria RAM se perdería. No se debe apagar o reiniciar la PC si se desea analizar el contenido de la memoria RAM.
Una vez teniendo en cuenta este punto, y después de realizar el volcado de la memoria, pasaremos a usar Bulk_Extractor, pero desde Windows :-) utilizando un software el cual tiene una gran agrupación de herramientas para llevar acabo tareas de pentesting, este software es PentestBox del cual ya hice mención en un post en Hacking Publico & Sistemas Informáticos. Puedes descargar PentestBox para Windows o de GitHub.com - Bulk_Extractor.
Al utilizar AccessData FTK Imager para obtener nuestro volcado de memoria RAM nos quedara como resultado el siguiente archivo con la extensión .mem el cual puede tener un gran tamaño, en mi caso 1.46GB. También se debe aclarar que el tiempo que tarda en terminar el volcado de memoria RAM dependerá de la cantidad de memoria RAM que tenga nuestro equipo.
Ahora pasamos a correr PentestBox.
Y continuamos con...
Después de dar Enter podemos ver todas las opciones que tiene Bulk_Extractor para trabajar...
Como podemos ver, tenemos muchas opciones o parámetros, incluso algunos profesionales lo han llamado "Analizador forense con esteroides" y el apodo le queda muy bien.
Continuando quiero aclarar que debemos tener en cuanta la sección que dice "Required parameters (Parámetros requeridos)".
Pues forzosamente debemos de utilizar "-R" y "-o"
Ahora pasamos a lo interesante, analizaremos el volcado de memoria RAM para eso se debe de entender la siguiente estructura:
[herramieta] [-o] [Carpeta de resultados] [ "-R" Opciones/parametros] [archivo]
bulkextractor -o C:\Users\ekt\Desktop\Resultados -R -i C:\Users\ekt\Desktop\RAM\Drok3r.mem
Al llegar a este punto, hemos indicado a bulkextractor que los resultados del análisis se guarden en la carpeta "Resultados" la cual se encuentra en esta ruta [C:\Users\ekt\Desktop\Resultados] utilizando el parámetro "-o", también se indico que se analizara el archivo "Drok3r.mem" el cual en este caso tiene la informacion de nuestro volcado de memoria, para eso se utilizo el parámetro "-R".
Por el lado de las opciones o parámetros hemos indicado "-i".
[herramienta]
bulkextractor
[Carpeta o ruta donde se almacenen los resultados]
C:\Users\ekt\Desktop\Resultados
[opciones o parámetros]
-R -o -i
[Archivo]
C:\Users\ekt\Desktop\Memoria
Los parámetros u opciones dependerán de tus necesidades o de los requerimientos del análisis, Por ejemplo se le puede agregar la opción "-r" para las alertas en un alert_list.txt.
Una vez que nosotros demos al Enter comenzara el trabajo de extracción de informaron.
Como se puede apreciar en la imagen superior, nos indica nuestra nuestra "configuración" como viene siendo la versión del software, el archivos que se analizara, la carpeta en donde se guardara la informacion de salida, el tamaño del disco, etc.
Con forme el progreso continua nos muestra la informacion del mismo...
Este proceso puede variar, dependiendo del tamaño del archivo que se esta analizando, en mi caso mi archivo de 1.46GB tardo aproximadamente unos 20 a 30 minutos. Cuando el proceso termina, se nos muestra en la consola la siguiente informacion, indicado que ha terminado.
Y ahora podemos verificar la informacion que extrajo en la carpeta de salida o destino que nosotros previamente agregamos, en mi caso la carpeta es "Resultado" y se encuentra en la ruta [C:\Users\ekt\Desktop\Resultados] dentro de la carpeta que nosotros escogimos podemos encortar los resultados de nuestro análisis los cuales de forma automática ya están procesados y guardados, solo falta visualizar cada uno de ellos.
Estos son los resultados de nuestro análisis del volcado de memoria RAM, ya organizados por categorías en archivos .txt con su respectivo nombre. Cada archivo contiene informacion y esta indicada por el nombre del archivo.
Por ejemplo en el archivo "url_facebook-address.txt" podemos url o direcciones url de los usuarios, paginas o grupos que se visitaron, durante el acceso a facebook.
Otro ejemplo interesante es el archivo "domain_histogram.txt" el cual contiene dominios, posiblemente visitados por el usuario.
Y por ultimo ejemplo el archivo "url_facebook-id.txt" contiene informacion muy interesante...
...
Esta es una gran herramienta para los análisis forenses informáticos y no solo de volcados de memoria RAM...
Gracias.
0 Comentarios