Scribd
Cargar
129 vistas4 páginas

Análisis Forense de Memoria con Bulk Extractor

El documento describe la herramienta Bulk Extractor, la cual puede escanear una imagen de memoria sin analizar la estructura del sistema de archivos. Bulk Extractor extrae información como direcciones de correo electrónico, URLs, números de tarjetas de crédito y más. El documento también proporciona un ejemplo de cómo usar Bulk Extractor para analizar una captura de memoria de Windows y buscar información específica.

Cargado por

Handerson Marques
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
129 vistas4 páginas

Análisis Forense de Memoria con Bulk Extractor

El documento describe la herramienta Bulk Extractor, la cual puede escanear una imagen de memoria sin analizar la estructura del sistema de archivos. Bulk Extractor extrae información como direcciones de correo electrónico, URLs, números de tarjetas de crédito y más. El documento también proporciona un ejemplo de cómo usar Bulk Extractor para analizar una captura de memoria de Windows y buscar información específica.

Cargado por

Handerson Marques
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Peritaje II Análisis de memoria

Análisis inicial de memoria con Bulk


Extractor
Bulk Extractor
Bulk_extractor es una herramienta de informática forense que escanea una imagen de disco, un
archivo o un directorio de archivos y extrae información útil sin analizar el sistema de archivos
o las estructuras del sistema de archivos. Los resultados pueden ser fácilmente inspeccionados,
analizados o procesados con herramientas automatizadas. Bulk_extractor también crea un
histograma de características que encuentra, ya que las características que son más comunes
suelen ser más importantes.

Esta herramienta se puede usar tanto para Windows, Linux o MacOS.

Como podemos ver su uso se basa en la orden bulk_extractor seguido del parámetro -o
directorio para indicar donde debe dejar la salida y luego el nombre del fichero de imagen de
memoria a analizar. Podemos añadir la opción -e escaner para determinar añadir otros de
escáneres además de los que se realizan por defecto. -e all para todos los escáneres
implementados. Los “escaneres” suelen ser base16, Facebook, Outlook, wordlist, xor y sceadan.

Por ejemplo, podemos bajarnos desde este enlace un ejemplo de volcado de memoria de
equipo Windows Server 2016.
Peritaje II Análisis de memoria
Para descargarlo basta con usar: wget https://bit.ly/2lYn4Ed

Podemos descomprimirlo con la orden unzip memdump2016.men.zip

Creamos un directorio y ejecutamos un análisis con bulk_extractor:

Al ejecutarse genera un directorio de salida que contiene los siguientes ficheros:

• ccn.txt: Números de tarjeta de crédito


• ccn_track2.txt: Información de la tarjeta de crédito "track 2"
• domain.txt: dominios de Internet que se encuentran en la unidad, incluidas las
direcciones de cuatro puntos que se encuentran en el texto.
• email.txt: direcciones de correo electrónico
• ether.txt: direcciones MAC de Ethernet encontradas a través de la creación de paquetes
IP de archivos de intercambio y archivos de hibernación del sistema comprimido y
fragmentos de archivos.
• exif.txt: EXIF de archivos JPEG y segmentos de video. Este archivo de características
contiene todos los campos EXIF, expandidos como registros XML.
• find.txt: los resultados de solicitudes específicas de búsqueda de expresiones regulares.
• ip.txt: direcciones IP encontradas a través de la talla de paquetes IP.
• phone.txt: Números telefónicos internacionales y de EE. UU.
• url.txt: URLs, que generalmente se encuentran en cachés del navegador, mensajes de
correo electrónico y precompilados en ejecutables.
Peritaje II Análisis de memoria
• url_searches.txt: un histórico de términos utilizados en búsquedas en Internet de
servicios como Google, Bing, Yahoo y otros.
• wordlist.txt ---: una lista de todas las "palabras" extraídas del disco, útil para descifrar
contraseñas.
• wordlist _ *. txt: La lista de palabras con los duplicados eliminados, formateados en una
forma que se puede importar fácilmente en un popular programa para descifrar
contraseñas.
• zip.txt: contiene información sobre los archivos ZIP que se encuentra en los dispositivos
de almacenamiento. Esto es útil ya que los archivos ZIP contienen otros ficheros a su vez
y ZIP es cada vez más el formato de archivo compuesto de elección para una variedad
de productos como Microsoft Office.

Podemos buscar información contenida en ese volcado de memoria relevante. Revisando los
ficheros podremos encontrar cadenas importantes en memoria. Por ejemplo, los correos
electrónicos encontrados:

O el historial de visitas en Internet en el fichero url_histrogram.txt:


Peritaje II Análisis de memoria

Puedes probar a usar esta herramienta con la captura de memoria que hiciste en el ejercicio 1.

Actividad
Vamos a partir un fichero de memoria de un equipo Windows 7. Usa Bulk Extractor para
analizarla.

La captura es un volcado de Windows (crush dump) obtenida con la herramienta DumpIt. Se


puede descargar desde el siguiente enlace: https://bit.ly/2lJ71d5

Esa imagen tiene un tamaño de 2147020800 y su sha256 es


b59c495706cb8be04c8dbc03ea3037ac5ca9dbac7d46cdb109b9fbe749000b81.

Localiza y busca en esta memoria:

• El listado de los sitios web que ha visitado el usuario.


• Tres correos electrónicos terminados en scc.uned.es
• Los números de tarjeta que empiezan por 4051, por 4024 y por 5254.
• El nombre del segundo usuario creado (PISTA se uso el comando net user /add…).

¿Podrías averiguar la contraseña del segundo usuario creado con esta herramienta?

Bibliografía
• Garfinkel, Simson, Digital media triage with bulk data analysis and bulk_extractor.
Computers and Security 32: 56-72 (2013)
https://simson.net/clips/academic/2013.COSE.bulk_extractor.pdf

También podría gustarte