Forense em Memória: o que é e para que serve?

Forense em Memória: o que é e para que serve?

A análise forense em memória tem como objetivo identificar dados de qualquer dispositivo computacional, alocados na sua memória, visando coletar e analisar informações que possibilitem a geração de evidências digitais de um crime cibernético.

O que é análise forense em memória?

Mrdovic et al. (2011) afirma que uma prática comum na análise de memória volátil, é realizar uma cópia útil da memória para análise offline, denominada forense estática.

Possibilitando, a partir daí, que o perito possa construir o caso de investigação em um ambiente isolado, que não cause nenhum tipo de obstrução à evidência.

Além disso, uma vantagem da análise de memória, é a independência do sistema operacional da máquina supostamente comprometida.

Neukamp (2007) afirma que a memória é um ponto importante na investigação, pois nela constam os arquivos voláteis do sistema, que são usados pelos programas que estão em funcionamento, ou os arquivos que ainda não foram salvos no disco rígido.

Sendo possível recuperar esses dados por meio de um processo conhecido como dump de memória, onde é gravado todo o conteúdo da memória para um arquivo de dump.

O responsável pela cena da infração, contendo sistemas ligados, deve fazer uma análise ao vivo ou desligar os equipamentos. Numa análise ao vivo, realizada com o sistema ligado, deve-se ter o cuidado de preservar a memória principal (RAM), que por sua vez pode ser a única evidência digital útil. O desligamento de um sistema pode ser executado pelo sistema operacional, de modo ordenado; alternativamente, pode ser de súbito, cortando o fornecimento da energia como botão desligar ou desconectando o cabo de alimentação elétrica. [SHIMABUKO, 2009] (grifo nosso)

A análise forense de memória refere-se a um processo em que o perito forense digital realiza para capturar a memória em execução, de um dispositivo.

Na sequência, o profissional analisa a saída capturada buscando evidências digitais de softwares malicioso, os malwares.

Diferente da análise forense do disco rígido, cujo qual o sistema de arquivos do dispositivo é clonado e cada respectivo arquivo no disco pode ser restaurado e analisado, a análise forense de memória tem como foco programas que estavam operando no momento em que o dump da memória foi capturado.

No nosso blog nós temos um artigo completo sobre Coleta Forense de Memória RAM com Belkasoft RAM Capturer.

A importância da forense em memória

Silva e Lorens (2009) discorrem sobre a necessidade de um exame pericial em memória RAM, usualmente denominado como live forensics, tendo em vista que circunstâncias específicas justificam a realização de procedimentos de coleta de vestígios digitais no local em que se encontram instalados os equipamentos computacionais, enquanto ligados e em funcionamento normal.

O principal benefício da análise forense de memória volátil é que ela requer um tempo mínimo ou nulo de hibernação do sistema, os dados são recuperados em tempo real, bastando que eles ainda estejam disponíveis na memória RAM para a descarga em arquivo, inutilizando possíveis teorias de alteração de informação que podem ser alegadas durante uma análise.[1]

Dominar a coleta e a análise dos dados alocados na memória de um dispositivo computacional, pode ser um diferencial nas atividades desempenhadas por um perito forense digital, tendo em vista que a memória RAM mantém informações mesmo depois de um certo período não energizada, sendo uma fonte inestimável de evidências digitais.

A perícia forense da memória volátil de um determinado computador, mediante a análise de um dump de memória, tem a capacidade de identificar incontestavelmente a ocorrência de determinadas condutas delituosas, praticadas mediante o uso de dispositivos, esclarecendo, de forma concisa, as minúcias do ataque sofrido.

Além do mais, é indispensável dizer que realizar a análise forense da memória de um dispositivo, constitui em analisar desde a área de transferência de arquivos até às memórias de impressoras.

O processo de coleta de evidência digital constitui-se de uma série de procedimentos sensíveis que podem validar, ou invalidar, todo um processo de investigação. Nessa fase, quando falamos em um sistema comprometido que esteja ligado, a preservação do conteúdo da RAM (Random Access Memory) é muito importante (BARREIRA, 2015).

Contudo, diante da sua volatilidade, a maioria dos dados alocados na memória são extraviados.

As informações na memória RAM podem ser extremamente importantes e determinantes para a correta resolução do caso investigado.

A presença de malwares, resquícios de arquivos e até conversas em chats que não foram armazenados em disco podem conter informações importantes que justificam a preservação da memória RAM (BARREIRA, 2015).

Neste contexto, é importante frisar que todas as atividades que estão sendo executadas em um dispositivo computacional, primeiramente são armazenadas provisoriamente na memória.

E, diante disso, é possível mapear como aquele sistema estava sendo operado quando do momento da geração do dump da memória.

De mais a mais, a análise forense de memória possibilita a recuperação de programas executáveis gravados na memória do dispositivo.

À vista disso, possibilita ao profissional de alçada, o perito digital, a realização da análise desses códigos, especialmente aqueles desconhecidos e que eventualmente serão classificados como artefatos maliciosos, dotados de capacidade de promover facilmente a prática de crimes cibernéticos.

Isto posto, do mesmo modo que os programas em execução continuam armazenados em memória, seus dados de trabalho também permanecem alocados ali.

Diante disso, é possível realizar a recuperação de diversos tipos de informações, tais como, mas não limitado a: senhas que porventura ainda estejam armazenadas em forma textual na memória, quais tipos de ferramentas foram utilizados, bem como outras informações específicas que podem ser recuperadas quando identificado o seu formato, posição e outros aspectos singulares e úteis.

Via de regra, as pericias forenses estão conectadas às investigações de crimes, objetivando responder perguntas e elucidar os fatos concretos no tocante as ocorrências do crime, como, por exemplo:  “o que ocorreu? ”, “onde? ”, “quando? ”, “qual o meio empregado? ”, “de que forma foi utilizado? ”, “quem foi o autor? ”.

Todavia, quando se trata de perícia digital, especialmente na análise forense em memória, os quesitos devem ser formulados e respondidos de modo que contemplem, além de conhecimento sólido em forense digital, sobre princípios básicos do direito, sigilo, privacidade, conhecimento profundo nas tecnologias de informática, e também, uma noção sobre psicologia dos cibercriminosos, seu comportamento e respectivos motivos para realizarem o ataque.

Segundo LORENS e SILVA (2009), para realizar a análise forense de memória, especificamente as perícias em dados de memória registrados em um dump de memória, são viabilizadas respostas para vários tipos de quesitos, a saber, dentre outros:

  • Qual é a data e hora da imagem da memória?
  • Que programas estavam em execução?
  • Que serviços de rede o computador executava?
  • Que serviços de rede o computador usava?
  • A que outros computadores o computador periciado estava conectado?
  • Que arquivos estavam em uso pelos programas em execução no computador?
  • Que faixas de endereços de memória estavam em uso por cada programa?
  • Que versões de sistemas operacionais estavam carregadas no computador?
  • Que mapeamentos de endereços físicos para endereços virtuais havia no computador?

Quer aprender sobre as Técnicas de Investigação e Forense em Memória? Não deixe de conferir o Webinar realizado pelo nosso parceiro Eder Luís:

 Ferramentas para análise forense em memória

A Volatility é a principal ferramenta utilizada pelos profissionais de forense digital para realizar a análise forense em memória.

A Volatility é composta por uma coleção de ferramentas de código aberto, desenvolvida para a extração de dados e informações digitais, armazenados em memória.

Em outras palavras, a ferramenta Volatility foi implementada para promover a extração de artefatos digitais de amostras de memórias voláteis (RAM), cujas técnicas de extração são realizadas inteiramente autônomas do sistema que está sendo periciado.

Sendo assim, empregando o Volatility é possível proceder a investigação da memória de vários sistemas operacionais, como o Windows, Linux, Mac OSX e, consequentemente, com o suporte para o Linux assim será para o Android.

A ferramenta proporciona uma plataforma de suporte à coleta e análise de evidências digitais, armazenadas em memória volátil, proporcionando a obtenção de um variado conjunto de informações ali armazenadas, a saber[2]:

  • Data e hora da imagem da memória RAM;
  • Processos em execução;
  • Sockets de rede abertos;
  • Conexões de rede abertas;
  • DLLs carregadas para cada processo;
  • Arquivos abertos para cada processo;
  • Chaves de registro para cada processo;
  • Memória endereçável de um processo;
  • Módulos do kernel do sistema operacional e etc.

O Volatility, em linhas gerais, possui os seguintes alicerces: espaço de endereços, objetos e perfis e módulos de visão de dados.

Neste contexto, é importante esclarecer que o espaço de endereços se referem à organização da memória.

Já os objetos tratam-se da abstração para os dados encontrados em memória.

E, por fim, os módulos de visão de dados tange sobre à localização dos objetos na memória e a sua respectiva extração.

No Webnar abaixo, o Professor Renan Cavalheiro, ministra um passo a passo sobre como processar dump de Memória RAM com Cyber Triage:

Também temos um artigo completo sobre Coleta Forense de Memória RAM com Belkasoft RAM Capturer.

Gostou do conteúdo deste artigo? Não perca mais tempo e matricule-se no nosso treinamento sobre Forense em Memória.

Este treinamento visa auxiliar os alunos a alcançar mais resultados em suas investigações, através da aquisição e análise de evidências derivadas da memória RAM, se preparando para atuar em casos complexos de investigação de fraudes, análise de ataques de malware, dentre outras categorias de ataque.


Referências:

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados
Gratuito para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement