Clonación de un sistema para análisis forense

Navega tus respuestas
2

¿Cómo puedo clonar un sistema sin dejar huella? Quiero adquirir RAM y otros discos duros físicos para que, después de la clonación, todo el trabajo pueda realizarse en la máquina virtual sin molestar a la máquina de destino. Si instalo algún software para clonar en la máquina de destino, dejaré una huella. Si hago algo a través de la red como netcat, también dejará la conexión en la memoria RAM. Además, no quiero eliminar el disco duro del sistema y utilizar un bloqueador de escritura, ya que se supone que una vez que se desconecte y se vuelva a enchufar, los datos se eliminarán.

Básicamente, quiero que una máquina obtenga todos sus datos para tener algo que ejecutar en una máquina virtual que sea exactamente igual a la máquina original.

Estoy haciendo un proyecto en Windows Forensics y, en la medida en que he progresado, no puedo capturar RAM para que pueda ejecutarme en una máquina virtual.

He visto algunas herramientas con las que puedo clonar el disco duro para crear un disco para una máquina virtual, pero para eso necesito instalar ese software en la máquina de destino y eso dejaría huellas

    
pregunta Jheel rathod 04.06.2018 - 14:15
fuente

1 respuesta

4

Necesitaría usar JTAG , un protocolo de depuración (específicamente IEEE 1149.1 ) y su interfaz en la mayoría de los dispositivos modernos. Cuando se conecta una sonda JTAG, puede detener el estado de la máquina y leer toda la memoria y los registros. JTAG pone el sistema en un estado de depuración de bajo nivel denominado modo de prueba, sobre el cual el sistema operativo no tiene control. sondas JTAG , antes a DCI , puede ser bastante costoso. El único rastro dejado por JTAG es el hecho de que el RTC del sistema parecerá saltar hacia adelante. Después de todo, el sistema estará en una estasis de la que no se tiene conciencia durante algún tiempo, mientras el RTC sigue funcionando.

También es posible usar un ataque DMA que normalmente tendrá muy poco efecto en el sistema objetivo. Sin embargo, un ataque DMA en un sistema en ejecución está sujeto a frotis de memoria que puede complicar el análisis y corromper la memoria temporalmente, en lugar de espacialmente (es decir, la dirección x y la dirección y pueden haber sido capturadas en diferentes momentos, lo que lleva a inconsistencias). Además, los ataques DMA requieren que el sistema de destino no sea compatible con DMAR , que filtra DMA utilizando su IOMMU.

Si realmente quieres tomar la memoria y soltarla directamente en una máquina virtual para que se ejecute donde se quedó, estás de suerte, lo siento. Hay muchos estados que no se capturan en la memoria (registros, espacio de configuración del dispositivo PCI / MMIO, etc.). Sería una tarea increíble tomar la memoria de hardware en ejecución y colocarla en una máquina virtual, especialmente porque necesitaría escribir emuladores de dispositivos para todos los dispositivos propietarios en el sistema de destino. Debería poder analizar exhaustivamente un volcado de memoria sin que sea necesario colocarlo en una máquina virtual.

Vea algunas otras respuestas que he escrito sobre este tema:

respondido por el forest 05.06.2018 - 05:10
fuente

Lea otras preguntas en las etiquetas

¿El seguimiento de las sesiones de usuario-agente proporciona algún beneficio? ¿Cómo verificar la propiedad del servidor por IP pública (sin dominio asociado)?