Buenas a todos, en el post de hoy de la cadena sobre herramientas forenses volveremos a hablar de la utilidad HxD para analizar otra funcionalidad que nos puede ser de gran utilidad a la hora de analizar la memoria RAM de un equipo.
HxD nos permite entre otras funcionalidades abrir la memoria RAM en caliente, para ello debemos acceder al menú “Extras/Open RAM…”:
Una vez desplegada nos aparecerá una ventana de dialogo en la que deberemos seleccionar uno de los procesos que se encuentran operando. Para el post de hoy hemos seleccionado el navegador firefox:
Firefox carga en memoria una gran cantidad de información durante su procesamiento, como por ejemplo, direcciones URL, correos, etc.
Si buscamos algún correo que alguien haya enviado recientemente desde Firefox seguramente siga en memoria y podremos acceder a su contenido, simplemente debemos buscar un nombre, correo, o algo nos permita localizar rápidamente el mensaje entre la gran cantidad de información:
Pero si hay algún dato que posiblemente nos interese por encima de otros son las contraseñas. Sobretodo si el proceso que estamos monitorizando con HxD no cifra las claves en memoria, como por ejemplo Filezilla, en la que podremos visualizar las contraseñas de una manera rápida y sencilla buscando cadenas como “PasvMode”, “pass”, etc.
Ya sabéis el dicho, “quién tiene una RAM, tiene un tesoro…” ¡no os dejéis las sesiones de Windows desbloqueadas” ;)Saludos!
English
HxD nos permite entre otras funcionalidades abrir la memoria RAM en caliente, para ello debemos acceder al menú “Extras/Open RAM…”:
Una vez desplegada nos aparecerá una ventana de dialogo en la que deberemos seleccionar uno de los procesos que se encuentran operando. Para el post de hoy hemos seleccionado el navegador firefox:
Firefox carga en memoria una gran cantidad de información durante su procesamiento, como por ejemplo, direcciones URL, correos, etc.
Si buscamos algún correo que alguien haya enviado recientemente desde Firefox seguramente siga en memoria y podremos acceder a su contenido, simplemente debemos buscar un nombre, correo, o algo nos permita localizar rápidamente el mensaje entre la gran cantidad de información:
Pero si hay algún dato que posiblemente nos interese por encima de otros son las contraseñas. Sobretodo si el proceso que estamos monitorizando con HxD no cifra las claves en memoria, como por ejemplo Filezilla, en la que podremos visualizar las contraseñas de una manera rápida y sencilla buscando cadenas como “PasvMode”, “pass”, etc.
Ya sabéis el dicho, “quién tiene una RAM, tiene un tesoro…” ¡no os dejéis las sesiones de Windows desbloqueadas” ;)Saludos!
