Herramientas forense para ser un buen CSI. Parte IX: Analizando volcados de RAM con Helix y Volatility 2

 

Buenas a todos, hoy continuaremos con la cadena de artículos sobre análisis forense analizando el volcado de RAM que realizamos en el último post. Para ello haremos uso de la herramienta Volatility.

Volatility es una herramienta de una gran potencia y sencillez de uso. Mediante el parámetro “-h” podremos visualizar la ayuda de la herramienta con el listado de parámetros que ofrece.

En primer lugar un buen forense debería interesarse por los procesos que se encontraban operativos en la máquina en el momento del volcado. Para ello haremos uso del parámetro “pslist” y enumeraremos los procesos de nuestra RAM volcada:

clip_image002

clip_image004

Entre los procesos veréis que se encuentra uno llamado “Helix”, que como ya os imagináis fue el responsable de realizar el volcado de la RAM. Es importante que justifiquemos durante un análisis forense la existencia de ese proceso documentándolo adecuadamente.

Otra búsqueda interesante pueden ser las conexiones que se encontraban realizadas en la máquina analizada:

clip_image006

Otra opción interesante puede ser dumpear un proceso concreto. Para ello necesitaremos saber su PID, que ya habremos averiguado anteriormente mediante el comando “pslist”. Por ejemplo nosotros nos interesamos por el maravillo proceso “lsass.exe” al que tanto partido ha sacado la herramienta MimiKatz Sonrisa:

clip_image008

clip_image010

Este comando nos habrá generado un archivo “dmp. Finalmente podremos abrir el archivo dump por ejemplo con un editor hexadecimal como HxD:

clip_image012

Eso es todo por hoy, nos vemos en el próximo post de la cadena. Saludos!