Herramientas forense para ser un buen CSI. Parte IX: Analizando volcados de RAM con Helix y Volatility 2
Buenas a todos, hoy continuaremos con la cadena de artículos sobre análisis forense analizando el volcado de RAM que realizamos en el último post. Para ello haremos uso de la herramienta Volatility.
Volatility es una herramienta de una gran potencia y sencillez de uso. Mediante el parámetro “-h” podremos visualizar la ayuda de la herramienta con el listado de parámetros que ofrece.
En primer lugar un buen forense debería interesarse por los procesos que se encontraban operativos en la máquina en el momento del volcado. Para ello haremos uso del parámetro “pslist” y enumeraremos los procesos de nuestra RAM volcada:
Entre los procesos veréis que se encuentra uno llamado “Helix”, que como ya os imagináis fue el responsable de realizar el volcado de la RAM. Es importante que justifiquemos durante un análisis forense la existencia de ese proceso documentándolo adecuadamente.
Otra búsqueda interesante pueden ser las conexiones que se encontraban realizadas en la máquina analizada:
Otra opción interesante puede ser dumpear un proceso concreto. Para ello necesitaremos saber su PID, que ya habremos averiguado anteriormente mediante el comando “pslist”. Por ejemplo nosotros nos interesamos por el maravillo proceso “lsass.exe” al que tanto partido ha sacado la herramienta MimiKatz :
Este comando nos habrá generado un archivo “dmp. Finalmente podremos abrir el archivo dump por ejemplo con un editor hexadecimal como HxD:
Eso es todo por hoy, nos vemos en el próximo post de la cadena. Saludos!