Blog

Mi primer analisis forense – Parte 1: Sacar passwords de la RAM

Con este post comienza una serie de articulos sobre analisis forense tanto de PCs como de dispositivos moviles. Este primero se va a explicar como obtener las contraseñas de la memoria RAM en un sistema operativo Windows.

Para hacer esto lo primero que haremos será loguearnos en cualquier servicio online con el navegador. Estos credenciales se almacenan siempre en la memoria RAM. Esta prueba la haremos con Gmail por ser un servicio ampliamente extendido.

Para realizar la prueba de concepto necesitamos descargar la herramienta forense FTK Imager (http://www.accessdata.com/support/technical-customer-support/product-downloads). Con esta herramienta lo que haremos será una copia bit a bit de la memoria RAM. Para hacer esto nos dirigimos a la lista de botones que tiene la herramienta justo abajo de las pestañas y buscamos uno que ponga “Capture Memory” (verde con forma rectangular de memoria RAM). Seleccionamos el destino de la copia y procedemos.

Una vez terminada la copia de la memoria RAM nos vamos a la pestaña File y dentro de esta pulsamos en “Add evidence item”. En la ventana que nos aparece seleccionamos la opción “Image file” y pulsamos siguiente. Ahora seleccionamos la copia donde la tengamos y ya está.

Podemos ver como nos aparece el volcado de memoria en la herramienta, es normal que las primeras posiciones estén a cero.

memoriaRAM1

Ahora para buscar aqui pulsaremos CONTROL+F y tenemos muchas formas de buscar. Como sabemos que la contraseña de Gmail se guarda con el prefijo “&Passwd=” delante, haremos una búsqueda de “&Passwd=”. El primer resultado que aparece puede no ser el correcto, asi que seguiremos avanzando con F3 hasta dar con el mail y la contraseña. Y como veis en la imagen para la cuenta apuntes.tutoriales@gmail.com la contraseña es “pruebadeconcepto”

memoriaRAM2

Pues ahi está la contraseña de la cuenta de correo!

Espero que os haya gustado.

 

roberto@highsec.es – @leurian

 

  1. R0dW3
    R0dW306-18-2013

    Muy bueno el primer análisis forense!!
    Ánimo, este blog tiene mucho futuro si continuáis así

    :))

  2. R0dW3
    R0dW306-18-2013

    Muy bueno el primer análisis forense!!
    Ánimo, este blog tiene mucho futuro si continuáis así

    :))

  3. phill
    phill06-19-2013

    Breve y preciso, estoy leyendo los post y he aprendido mucho!

    Salu2

  4. Andres Hernandez
    Andres Hernandez02-10-2014

    Oye una pregunta, COMO SERIA EL STRING PARA BUSCAR EL PASSWORD Y EL EMAIL DE FACEBOOK.

    GRACIAS DE ANTEMANO

    • Yago
      Yago06-24-2014

      Andrés, lo que puedes hacer es ingresar a facebook, realizar el volcadod de memoria, y luego en él, buscar tu contraseña, una vez hecho, encontrarás el prefijo…

Leave a Reply

*

    No Twitter Messages