La informática forense o, como decimos, la informática forense no solo es algo interesante, sino también muy bien pagado. En el caso forense de hoy mostraremos cómo crear un volcado de memoria de todos los procesos de Windows y analizar la relación padre-hijo.
Para este pequeño caso forense, solo necesitamos una máquina con un Windows XP preinstalado.
¿Cómo creo un volcado de memoria de los procesos de Windows?
Descargue la utilidad nativa de Microsoft llamada Process Explorer.
Después de extraer el archivo a cualquier directorio, ejecute el archivo binario como administrador (para obtener una lista completa del sistema y los procesos ocultos) y vaya al menú Ver —> Mostrar procesos de todos los usuarios.
Un poco sobre lo que el programa nos muestra.
La columna Proceso muestra un árbol de procesos activos y sus descendientes. Hijo es un proceso creado por otro proceso padre. Cualquier proceso puede ser tanto un descendiente si se creó durante la ejecución de otro proceso, como un padre si se creó otro proceso durante su ejecución. Los elementos del árbol de procesos se muestran de acuerdo con el orden en que se ejecutan cuando se inicia el sistema operativo y el usuario se registra.
La raíz del árbol de procesos es el nivel de proceso inactivo del sistema, el estado inactivo del sistema. El siguiente elemento en el árbol es el nivel sistema. De hecho, System no es un proceso real existente por separado, sino un nivel de árbol diseñado para mostrar la actividad del sistema relacionada con el manejo de interrupciones, los controladores del sistema, los smss del Administrador de sesiones de Windows.exe y csrss.exe (Tiempo de ejecución cliente-servidor).
El resto del árbol muestra una jerarquía de procesos que realmente se ejecutan en Windows. Por ejemplo, la aplicación SERVICES.EXE services and controllers crea, elimina, inicia y detiene servicios en el sistema operativo, que aparece en la lista de procesos que genera.
- PID – Process ID PID es un número decimal único asignado a cada proceso cuando se crea.
- CPU: el grado de uso de la CPU.
- Bytes privados es la cantidad de RAM asignada a este proceso y no compartida con otros procesos.
- Un conjunto de trabajo es un conjunto de trabajo de un proceso, que es la suma de todas las páginas de memoria que está utilizando en un momento dado. El tamaño de este conjunto puede variar dependiendo de las solicitudes del proceso. La mayoría de los procesos utilizan memoria compartida.
- Descripción— una breve descripción del proceso.
- Nombre de la empresa es el nombre de la empresa de desarrollo.
- Ruta de acceso: la ruta de acceso y el nombre del archivo ejecutable.
- Verified Signer es un signo de la validez de la firma digital del archivo ejecutable. La presencia de la cadena No verificada indica que falta la firma digital o no se pudo verificar.
Para obtener más información, consulte la documentación.
También puede utilizar Process Explorer para crear volcados de memoria de procesos individuales o de todo el sistema para una mayor investigación. Esta práctica se utiliza a menudo cuando se detectan rastros de infección del sistema con malware o exploit. El volcado se puede ver a través de la utilidad Herramientas de depuración para Windows.
Un volcado de memoria de proceso almacena una pequeña cantidad de información sobre el proceso en sí y los componentes cargados que existían cuando apareció.
Un volcado completo de todos los procesos es una imagen que incluye el contenido de toda la RAM de la computadora, tanto los procesos del usuario como del sistema. Sin embargo, recuerde: antes de volcar la memoria de todos los procesos de Windows, debe asegurarse de tener suficiente espacio para ahorrar en su disco duro. Esto es especialmente cierto para las ediciones de servidor del sistema operativo.