Por que eu devo ler este artigo:Este artigo apresenta as ferramentas da empresa Mandiant: Memoryze e Redline, em um estudo de caso aonde podemos empregar suas funcionalidades para compreender melhor as atividades em execução dentro da memória de um computador. Neste estudo considera-se um cenário hipotético, onde há suspeita de infecção por um malware desconhecido em um computador e provoca danos e lentidão em toda a rede. O objetivo é analisar os processos desta estação de trabalho em busca de sinais que possam endossar ou refutar a hipótese de infecção por malware neste host. Os pontos destacados neste artigo serão úteis para melhorar a compreensão de um perito em forense computacional quanto à importância e facilidade da análise de memória tanto para a validação de incidentes que possam comprometer a segurança computacional ou para melhor compreender os processos executados e registrados na memória do computador.

Na atualidade presenciamos o fato de que diversas empresas não atualizam os sistemas operacionais de suas estações de trabalho e servidores, assim como seus softwares, aplicativos, ferramentas e plug-ins. Esta ausência de aplicação das correções de segurança é aproveitada por diversos tipos de malwares (softwares que podem danificar, alterar ou furtar informações), que podem se instalar e comprometer o funcionamento de uma ou mais máquinas.

Uma vez que isso aconteça, qual decisão tomar? Formatar uma estação de trabalho comprometida pode resolver o problema, mas não permitirá que se identifiquem as causas deste incidente de segurança, impossibilitando que se desenvolva uma compreensão deste e que lições possam ser aprendidas para evitar um problema futuro no ambiente. Existem soluções mais recomendadas para este tipo de problema do ponto de vista de segurança, e uma delas é identificar e isolar a máquina que está infectada, visando diminuir o impacto causado na rede.

Por si só um software antivírus apenas é eficiente caso o seu banco de dados esteja atualizado e em execução. Entretanto, é sabido que estas tecnologias possuem falhas e seus métodos não conseguem identificar plenamente os softwares maliciosos. Uma alternativa para contornar essa limitação é analisar a memória do computador em busca de comportamentos suspeitos que forneçam indícios de atividade maliciosa.

Para executar esta ação é necessário capturar uma “imagem” da memória da máquina. Essa “fotografia” da memória em um dado momento do tempo é um item essencial para compreender as atividades de um computador, esclarecendo dúvidas em relação a atividades suspeitas dentro de um host ou na rede.

Quando dizemos atividades suspeitas dentro de um computador, nos referimos a comportamentos incomuns e muitas vezes indesejados em um sistema, como um download de um programa sem a autorização do usuário ou o desligamento do sistema de firewall pessoal do PC. Na prática essas atividades ocorrem através dos programas executados no computador, que alocam os recursos computacionais e do sistema operacional para conseguir fazer suas ações. Quando em execução, esses aplicativos são conhecidos como processos.

Os processos, no contexto computacional, representam as tarefas em execução, mas nem todas têm relação direta com algum aplicativo em uso no sistema. Muitos dos processos funcionam em background, isto é, não interagem diretamente com o usuário. Estes processos mantêm o sistema trabalhando devidamente e efetuam a gestão dos recursos deste, como o acesso a rede, a memória, o uso do disco rígido, a proteção do software de antivírus, etc. Simplificando, podemos definir os processos como softwares que executam alguma ação e que podem ser controlados de alguma maneira, seja pelo usuário, pelo aplicat ...

Quer ler esse conteúdo completo? Seja um assinante e descubra as vantagens.
  • 473 Cursos
  • 10K Artigos
  • 100 DevCasts
  • 30 Projetos
  • 80 Guias
Tenha acesso completo