"Memory forensics": recuperare dati "utili" dalla memoria RAM

L’Internet Storm Center, branca del famoso SANS Institute, ha pubblicato alcuni documenti relativi a ricerche presentate in occasione del DFRWS 2008 di Baltimora. Alcuni studi resi noti sono particolarmente interessanti perché illustrano metodologie aventi numerose implicazioni in molteplici campi dell’informatica: dalla sicurezza al settore investigativo sino al “cybercrime”.

Uno dei documenti (ved. file PDF) proposti, illustra come viene gestita la struttura del registro di sistema di Windows all’interno della memoria volatile. L’autore della ricerca presenta strumenti e tecniche che consentono di recuperare informazioni memorizzate in RAM. Non solo. Appositi approcci permettono di modificare i dati conservati nella memoria RAM e relativi al registro di Windows senza alterare quelli memorizzati sul disco fisso.
Contemporaneamente si mostra come questi tipi di attacchi, non diagnosticabili mediante l’uso di tecniche tradizionali di esame del contenuto del disco fisso, possano essere rilevati facilmente verificando le informazioni presenti in RAM.

A corollario della ricerca, è stata presentata anche una guida (ved. file PDF) che esplora le possibilità di recupero di dati eliminati dal registro di Windows e precedentemente memorizzati sotto forma di valori, chiavi od altre strutture.

Il successivo documento è invece incentrato su PyFlag (ved. file PDF), uno strumento opensource che consente di analizzare tutto il traffico generato da uno specifico sistema abbinando attività d’ispezione del disco, della memoria volatile e della rete.