Blog

Con este post comienza una serie de articulos sobre analisis forense tanto de PCs como de dispositivos moviles. Este primero se va a explicar como obtener las contraseñas de la memoria RAM en un sistema operativo Windows.

Para hacer esto lo primero que haremos será loguearnos en cualquier servicio online con el navegador. Estos credenciales se almacenan siempre en la memoria RAM. Esta prueba la haremos con Gmail por ser un servicio ampliamente extendido.

Para realizar la prueba de concepto necesitamos descargar la herramienta forense FTK Imager (http://www.accessdata.com/support/technical-customer-support/product-downloads). Con esta herramienta lo que haremos será una copia bit a bit de la memoria RAM. Para hacer esto nos dirigimos a la lista de botones que tiene la herramienta justo abajo de las pestañas y buscamos uno que ponga “Capture Memory” (verde con forma rectangular de memoria RAM). Seleccionamos el destino de la copia y procedemos.

Una vez terminada la copia de la memoria RAM nos vamos a la pestaña File y dentro de esta pulsamos en “Add evidence item”. En la ventana que nos aparece seleccionamos la opción “Image file” y pulsamos siguiente. Ahora seleccionamos la copia donde la tengamos y ya está.

Podemos ver como nos aparece el volcado de memoria en la herramienta, es normal que las primeras posiciones estén a cero.

Ahora para buscar aqui pulsaremos CONTROL+F y tenemos muchas formas de buscar. Como sabemos que la contraseña de Gmail se guarda con el prefijo “&Passwd=” delante, haremos una búsqueda de “&Passwd=”. El primer resultado que aparece puede no ser el correcto, asi que seguiremos avanzando con F3 hasta dar con el mail y la contraseña. Y como veis en la imagen para la cuenta apuntes.tutoriales@gmail.com la contraseña es “pruebadeconcepto”

Pues ahi está la contraseña de la cuenta de correo!

Espero que os haya gustado.

 

roberto@highsec.es – @leurian