Uno de los temas que más me apasiona es el Análisis Forense así que hoy mostrare como podemos obtener información útil de la memoria RAM.
DUMP DE LA MEMORIA RAM
Empezaremos por realizar una copia bit a bit de la memoria RAM, es decir una copia exacta, en mi caso usare la herramienta FTK Imager Descargar FTK Imager.
Ahora seleccionamos Capture Memory.
Seleccionamos el destino de la copia y capturamos memoria.
ANALISIS DE LA MEMORIA RAM
Una vez que ya hemos obtenido la copia de la memoria tenemos que analizarla para eso usaremos la herramienta volatility.
El uso de esta herramienta es muy sencilla, colocamos el nombre del plugin a usar, la ruta donde se encuentra el archivo de nuestra imagen de la ram y después el tipo de perfil.
volatility [plugin] –f [Ruta] --profile=[profile]
Para saber el tipo de perfil ponemos:
Seleccionamos el perfil en mi caso como es el de un sistema Windows 8 seleccionare esta:
Win8SP1x86
Si queremos saber que procesos estaban activos en el momento que realizamos el DUMP de la memoria usaremos Pslist.
Con el comando Pstree mostrara una lista de procesos en forma de árbol.
Si queremos imprimir la listas de dlls cargados para cada proceso usaremos dlllist.
Con callbacks Imprime rutinas de notificación de todo el sistema.
Con Modules Imprime lista de modulos cargados.
By Torres