Buenas a todos, hoy continuaremos con la cadena de posts sobre Forense viendo como volcar la memoria RAM de un equipo y analizarla para estudiar, entre otros, los procesos que se encontraba ejecutando.
Para ello utilizaremos las herramientas Helix3 Pro (para realizar el volcado de la memoria RAM) y Volatility (para realizar el análisis del volcado).
¡Vamos allá!
En primer lugar deberemos arrancar Helix3 Pro:
Como veis se trata de una máquina virtual Windows. Ahora nos dirigiremos a la opción “Memoria”:
Pulsaremos sobre el botón “Acquire”:
Rellenaremos ahora los datos del examinador y el caso, indicaremos el hash que queremos obtener, en nuestro caso con SHA1 es suficiente (MD5 no es recomendable ya que no se considera algoritmo seguro) y finalmente seleccionaremos el destino donde almacenaremos el volcado.
Nota importante, es recomendable almacenar el volcado en una unidad externa al PC que se esté analizando (pendrive, unidad de red, etc.), para así evitar en la medida de lo posible la alteración del estado actual de la máquina y que puede ser crucial en un caso forense.
Una vez finalizado, pulsaremos sobre “Start Acquisition”:
Y ya tenemos nuestro volcado listo:
En el próximo post analizaremos el volcado de memoria para visualizar los procesos que se encontraban en ejecución en la máquina, conexiones abiertas, etc.
Saludos!
[...] Herramientas forense para ser un buen CSI. Parte IX: Analizando volcados de RAM con Helix y Volatility (1ª parte) [...]
ResponderEliminar