Arnaud Malard

Ce document a pour but (lucratif tout d’abord bien sûr) de recenser l’ensemble des attaques exploitables par le biais des données rémanentes en mémoire vive sur une machine embarquant un système d’exploitation Windows.

Celles-ci sont nombreuses et il m’a semblé intéressant de les réunir dans un unique document écrit à la manière d’un tutoriel et permettant donc de les réaliser pas-à-pas.

D’autre part, ce papier a été écrit sans prétention puisque vous n’y trouverez rien de nouveau ou d’innovant mais uniquement des informations centralisées déjà publiées.

Le document a été structuré de la manière suivante :

Tout d’abord, les différentes techniques connues à l’heure actuelle pour extraire la mémoire vive seront présentées selon les conditions dans lesquelles peut se trouver un attaquant (accès physique et logiciel avec privilèges élevés ou non).

Dans un second temps, les outils d’analyse d’images mémoires qui me paraissent intéressants et indispensables seront exposés. Ils permettent la manipulation des images extraites pour y lire des informations système ainsi que la conversion dans différents formats standards.

Ensuite, des exemples de données extractibles seront listés et permettront de juger par vous-même la criticité d’un accès à la mémoire et de ses informations sensibles stockées.

Enfin, des exemples de manipulation du contenu de la  mémoire permettant d’interagir sur le système d’exploitation via un accès possible à la mémoire RAM et selon les types d’accès disponibles pour un attaquant seront présentés.

La mémoire vive selon Wikipédia

La mémoire vive, mémoire système ou mémoire volatile, aussi appelée RAM de l’anglais Random Access Memory (que l’on traduit en français par ‘mémoire à accès direct’), est la mémoire informatique dans laquelle un ordinateur place les données lors de leur traitement. Les caractéristiques de cette mémoire sont :

• sa rapidité d’accès (cette rapidité est essentielle pour fournir rapidement les données au processeur) ;
• sa volatilité (cette volatilité implique que les données sont perdues dès que l’ordinateur cesse d’être alimenté en électricité).

… la volatilité étant le point le plus important et traité dans ce papier.

Plus simplement : la mémoire vive contient toutes les données qui sont traitées lorsque votre machine est démarrée. La mémoire vive agit comme une sorte de disque dur à accès rapide et donc plus sa capacité est importante plus les performances de la machine sont élevées en termes de rapidité d’exécution des programmes.

Mais pourquoi s’attaquer à la mémoire vive ?

Plusieurs raisons m’ont poussé à m’intéresser à cet élément majeur d’une architecture système et celles-ci sont exposées ci-dessous.

Contrairement au disque dur, la mémoire RAM est sollicitée pour chacune des actions réalisées sur le système et contient donc plus de données sensibles telles que des mots de passe saisis,  historique, des données non maitrisées et non inscrites sur le disque dur…

Les nombreux moyens existants pour extraire la mémoire RAM en font une cible privilégiée.

La compromission d’un système par l’altération directe de la mémoire RAM est plus discrète que celle réalisée par l’altération des fichiers du disque dur.

Contrairement à certains disques durs, le contenu de la mémoire RAM n’est pas chiffré  et facilite ainsi  l’accès au système ou sa manipulation  même si le disque  dur est chiffré.

Enfin, c’est un des éléments majeurs d’une architecture système, il est donc humain de s’y intéresser …

Pour consulter la dernière version de l’étude H@ckRAM, j’ai la mémoire qui flanche…