3 oct 2012

Herramientas forense para ser un buen CSI. Parte IX: Analizando volcados de RAM con Helix y Volatility

Buenas a todos, hoy continuaremos con la cadena de posts sobre Forense viendo como volcar la memoria RAM de un equipo y analizarla para estudiar, entre otros, los procesos que se encontraba ejecutando.

Para ello utilizaremos las herramientas Helix3 Pro (para realizar el volcado de la memoria RAM) y Volatility (para realizar el análisis del volcado).

¡Vamos allá!

En primer lugar deberemos arrancar Helix3 Pro:

image

Como veis se trata de una máquina virtual Windows. Ahora nos dirigiremos a la opción “Memoria”:

image

Pulsaremos sobre el botón “Acquire”:

image

Rellenaremos ahora los datos del examinador y el caso, indicaremos el hash que queremos obtener, en nuestro caso con SHA1 es suficiente (MD5 no es recomendable ya que no se considera algoritmo seguro) y finalmente seleccionaremos el destino donde almacenaremos el volcado.

Nota importante, es recomendable almacenar el volcado en una unidad externa al PC que se esté analizando (pendrive, unidad de red, etc.), para así evitar en la medida de lo posible la alteración del estado actual de la máquina y que puede ser crucial en un caso forense.

Una vez finalizado, pulsaremos sobre “Start Acquisition”:

image

image

Y ya tenemos nuestro volcado listo:

image

En el próximo post analizaremos el volcado de memoria para visualizar los procesos que se encontraban en ejecución en la máquina, conexiones abiertas, etc.

Saludos!

1 comentario:

  1. [...] Herramientas forense para ser un buen CSI. Parte IX: Analizando volcados de RAM con Helix y Volatility (1ª parte) [...]

    ResponderEliminar