Showing posts with label Andreas. Show all posts
Showing posts with label Andreas. Show all posts

Tuesday, April 14, 2009

New Volatility Plugins

Andreas has posted a couple of new Volatility plugins recently that look really interesting, in that he provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to link file objects to processes, as well as scanning a memory dump for driver objects.

Tuesday, November 20, 2007

Windows Memory Analysis

It's been a while since I've blogged on memory analysis, I know. This is in part due to my work schedule, but it also has a bit to do with how things have apparently cooled off in this area...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re just doesn't seem to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flurry of activity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past...

However, I could be wrong on that. I had received an email from someone telling me that certain tools mentioned in my book were not available (of those mentioned...nc.exe, BinText, and pmdump.exe, only BinText seems to be no longer available via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FoundStone site), so I began looking around to see if this was, in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. While looking for pmdump.exe, I noticed that Arne had released a tool called memimager.exe recently, which allows you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NtSystemDebugControl API. I downloaded memimager.exe and ran it on my XP SP2 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran lsproc.pl (a modified version of my lsproc.pl for Windows 2000 systems) against it and found:

0 0 Idle
408 2860 cmd.exe
2860 3052 memimager.exe
408 3608 firefox.exe
408 120 aim6.exe
408 3576 realsched.exe
120 192 aolsoftware.exe(x)
1144 3904 svchost.exe
408 2768 hqtray.exe
408 1744 WLTRAY.EXE
408 2696 stsystra.exe
244 408 explorer.exe

Look familiar? Sure it does, albeit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above is only an extract of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. Memimager.exe appears to work very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older version of George M. Garner, Jr's dd.exe (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PhysicalMemory object), particularly where areas of memory that could not be read were filled with 0's. I haven't tried memimager on a Windows 2003 (no SPs) system yet. However, it is important to note that Nigilant32 from Agile Risk Management is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r freely available tool that I'm aware of that will allow you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of PhysicalMemory from pre-Win2K3SP1 systems...it's included with Helix, but if you're a consultant thinking about using it, be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license agreement. If you're running Nigilant32 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Helix CD, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AgileRM license agreement applies.

I also wanted to followup and see what AAron's been up to over at Volatile Systems...his Volatility Framework is extremely promising! From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I went to check out his blog, and saw a couple of interesting posts and links. AAron is definitely one to watch in this area of study, and he's coming out with some really innovative tools.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links on AAron's blog went to something called "Push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Button"...this apparently isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same RedButton from MWC, Inc. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RedButton GUI is visible in fig 2-5 on page 50 of my first book...you can download your own copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "old skool" RedButton to play with), but is very interesting. One blogpost that caught my eye had to do with carving Registry hive files from memory dumps. I've looked at this recently, albeit from a different perspective...I've written code to locate Registry keys, values, and Event Log records in memory dumps. The code is very alpha at this point, but what I've found appears fairly promising. Running such code across an entire memory dump doesn't provide a great deal of context for your data, so I would strongly suggest first extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of process memory (perhaps using lspm.pl, found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD with my book), or using a tool such as pmdump.exe to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process memory itself during incident response activities. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools of note for more general file carving include Scalpel and Foremost.

So...more than anything else, it looks like it's getting to be a good time to update processes and tools. I mentioned an upcoming speaking engagement earlier, and I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunities to speak on Windows memory analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Thursday, October 26, 2006

Windows Memory Updates

Andreas recently released a new tool called poolgrep.pl. This lets you run searches across memory pools, looking for things such as timestamps, IP addresses, etc. You need to start by using poolfinder.pl to develop an index, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re you can search through various pools for specific items.

This is definitely a start in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. As Andreas has pointed out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool header contains a size value, so we know how many bytes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool occupies. He has also shown that some pool contents can reveal network connections. From here, IMHO, we should focus on "interesting" pooltags, and attempt to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir structure. Once we do, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this can be added to tools such as poolfinder.pl, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data parsed and presented accordingly. In addition to network connections, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clipboard (pool tag = Uscb) may be interesting, as well. MS provides a listing of pooltags in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pooltags.txt file that's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Debugger Tools. You can see an online version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file here.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been an update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ISC Malware Analysis: Tools of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trade toolkit listing...and it looks like I'd better get cracking on finishing up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I've been putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to address not just Windows 2000 RAM dumps! ;-)

Monday, October 23, 2006

Vista, RAM dumps, and OS detection (oh, my!!)

I received an email from Andreas today, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things he mentioned is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vista kernel in memory is 0x81800000...this could be added to my os detection script. So I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change to my script and ran it against a memory dump that I had from a Vista machine. Nothing. Nada. No impact, no idea. I opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump in UltraEdit and saw that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was nothing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset...well, at least no PE header.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fired up my Vista RC1 VMWare session, and ran LiveKD to see what it reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel base address as (0x81800000), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I suspended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. I opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting .vmem file and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script against it...and saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

File Description : NT Kernel & System
File Version : 6.0.5600.16384 (vista_rc1.060829-2230)
Internal Name : ntkrpamp.exe
Original File Name :
Product Name : Microsoft« Windows« Operating System
Product Version : 6.0.5600.16384
File Description : Boot Man╕╝ ç(╝ ç
File Version : 6.0.5600.16384╜ çp╝ çsta_rc1.060829-2230)
Internal Name :
Original File Name :
Product Name : Microsoft« Winh╛ ç╪╜ ç« Operating System
Product Version :

Very cool. To make this change yourself, just add '0x81800000 => "VistaRC1"' to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %kb hash.

Addendum 24 Oct: Sent by Andreas, and confirmed this morning...add '0x82000000 => "VistaBeta2"' (remove outer single quotes) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %kb hash in kern.pl.

Friday, October 20, 2006

Pool tag finder

Andreas released his poolfinder tool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, a Perl script for locating pool tags in a memory dump. This script accompanies a paper he wrote for IMF 2006 (here's his paper from DFRWS 2006).

So, what's a pool tag, and why is it important? According to Andreas, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel allocates what's referred to as a "pool" of memory, so that if an application requests some memory that is less than a 4K page, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than wasting all of that space, only what is required will be allocated. The pool tag header is a way of keeping track of this pool.

The pool header specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't any publicly available method for parsing that pool into something usable. I've used this technique to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clipboard in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 memory challenge dumps, and Andreas has used this to locate network socket activity. Perhaps someone with experience in developing drivers for Windows can assist in developing a methodology for revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various structures.

Additional Resources:
Who's using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool?
How to use PoolMon.exe

Addendum, 23 Oct: I've made some comments to Andreas's blog, and we've gone back and forth a bit. What I'd like to try to do is identify various pool tags that are of interest to forensic examiners (ie, TCPA for network connections, clipboard, etc.). Thanks to Andreas's work, finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool tags and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sizes is relatively easy...deciphering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into something readable is something else entirely.