Interesantísimos artículos sobre análisis de memoria en sistemas Windows. Ambos proceden de un blog muy bueno llamado Windows Incident Response, cuya temática es el análisis forense y la respuesta ante incidentes en sistemas Windows.
El artículo está dividido en dos partes: Windows Physical Memory Analysis y Windows Physical Memory Analysis, pt II.
El desarrollo de los textos es algo complejo, pero a su vez, instructivo e interesante, sobre todo para los que no tenemos experiencia en la forensia de sistemas Windows :)
Mediante el análisis de los volcados de memoria de ciertos procesos, es posible comprender su comportamiento, estudiando valores como FLINK/BLINK (punteros a bloques EPROCESS anteriores y posteriores respectivamente), localización en el mapa de memoria del Process Environment Block (PEB), si ha sido o no invocada la salida, fecha y hora de creación del proceso, etc. Esto es especialmente útil cuando se trata de procesos «caja negra» en los que sólo se conocen las entradas y las salidas, pero no el funcionamiento exacto. Mediante estos análisis es posible deducir el comportamiento mediante la observación de los parámetros de entrada y salida.
Interesante.