sábado, 14 de marzo de 2015

Capturando la memoria RAM

Cuando nos enfrentamos a un análisis forense digital tenemos de 2 sopas, un análisis offline o análisis “en vivo” (live) del equipo (Dispositivo) en cuestión, de acuerdo al grado de volatilidad que establece en el RFC 3227 se establece en la preservación de la memoria RAM, hoy vamos a utilizar Dumpit, FTK Imager algunas herramienta que permiten capturar la tan preciada memoria RAM del sistema operativo.

El generar una imagen forense de la memoria RAM permite posteriormente en la fase de análisis “extraer” información valiosa del Sistema Operativo, a continuación  enumero algunas de ellas:
  • Procesos ejecutados
  • Conexiones establecidas
  • Malware
  • Contraseñas
  • Servicios Cargados por el Sistema Operativo
  • Archivos en Ejecución
Es importante recordar que mientras las herramientas sean menos intrusivas en el sistema operativo será mejor, por eso seria absurdo pensar en instalar alguna aplicación en el equipo al cual se esta realizando un análisis forense digital.

Device\PhysicalMemory

En los sistemas Microsoft Windows  el objeto \Device\PhysicalMemory es el utilizado por algunas aplicaciones para acceder a la memoria física. Para capturar o volcar la memoria física las aplicaciones deben de acceder a este objeto para poder obtener el contenido.

Objeto PhysicalMemory

Dumpit
Esta herramienta permite capturar la memoria RAM (en entornos Windows de 32 y 64bits) de una forma sencilla, solo con un tímido “doble” click permite realizar la captura.
Dumpit sobre S.O Win 7 Sp1 64 bits
Es importante que la imagen forense sea firmada digitalmente con el objetivo de preservar la evidencia.
Calculando MD5 y SHA1
Existen numerosas herramientas que permiten calcular el HASH o firmar digitalmente una imagen forense, en este caso utilice hashcalc

FTK Imager

En este caso hablamos de una herramienta con un entorno grafico sencillo y facil de utilizar, esta versión es gratuita de AccessData.
FTK Imager - Capturando la memoria RAM
Tan sencillo como indicar la dirección en la cual se creara nuestra imagen forense de la memoria RAM y generar!, de igual forma como se hizo con Dumpit, se debe firmar el archivo generado para preservar la integridad del archivo.
Archivo generado de la memoria RAM
Definitivamente no son las únicas herramientas que existen para la captura o volcado del contenido de la memoria física, en nuestro siguiente post realizaremos el análisis de la imagen generada por Dumpit. 
Related Posts Plugin for WordPress, Blogger...