Blog

Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo

Vamos a ver como utilizar una de las herramientas más potentes para analizar memoria RAM. Es una herramienta en donde la gente va aportando los distintos plugins que tiene la herramienta. Se usa para analizar memoria RAM de Windows. Para obtener la RAM de Windows podemos hacerlo con esta herramienta que explico en este post Sacar passwords de la RAM, aunque si fuese para un proceso judicial, sería recomendable hacer la copia de la memoria con una herramienta menos pesada que alterase menos la RAM.

Para utilizar la herramienta en Linux habrá que llamarla por linea de comandos introduciendo el fichero de la memoria con el comando “-f” y a continuación llamar al plugin que queramos utilizar.

Pslist: Lista los procesos que había activos en el momento.

vo2

Consoles: Te muestra un historico de la terminal. En la parte de abajo de la foto aparece primero los comandos que se introdujeron, y después aparece la consola con los comandos introducidos y la respuesta de la máquina.

vo4

Connections: Listado de las conexiones que estaban abiertas.

vo5

Sockets: Listado de los sockets que estaban abiertos.

vo6

Pstree: Imprime la lista de procesos en forma de arbol.

vo7

Svcscan: Muestra los servicios que estaban activos.

vo8

Hashdump: Imprime los hashes (LM/NTLM) de la memoria. Para utilizar esta herramienta es necesario ejecutar antes del plugin Hivelist para obtener las posiciones de memoria de SYSTEM y SAM. Si nos fijamos en el principio de la foto, si ejecutamos el plugin “hashdump” sin argumentos de entrada, nos mostará un error y nos pide la posicion de memoria de SYSTEM y de SAM. Para saber los argumentos de entada de estos plugins que necesitan argumentos solo tienes que ver su ayuda: “vol -h hashdump”.  Entonces podemos ver como en la foto se ha seleccionado la posición de memoria de la SAM para pasarselo al plugin “hashdump”.

vo9

Pues estos son solo algunos de los plugins que tiene esta potente herramienta de análisis de RAM. Si muestras la ayuda “vol -h” podrás ver todos los plugins que trae incorporados.

Roberto – @leurian

  1. Jum
    Jum10-11-2013

    ¡Muy buena entrada!

    Una pregunta, ¿que herramienta utilizariais para la copia de la memoria sin alterarla mucho? Ftk imager lo hace considerablemente..

    Saludos.

Leave a Reply

*

    No Twitter Messages