Análisis de un volcado de memoria RAM de un equipo

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

Actividades Análisis de un volcado de memoria RAM de un equipo

En esta actividad tendremos que realizar el análisis de un volcado de memoria RAM de nuestro equipo. Para realizar un análisis exhaustivo de un volcado de memoria RAM es necesario hacer uso de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten realizar multitud de acciones sobre el volcado obtenido. Aunque también es posible un análisis más sencillo realizando búsquedas de cadenas de texto y recuperación de archivos sobre el propio volcado. Antes de comenzar la actividad, es recomendable la lectura del manual publicado en Google Code, el cual está disponible en: https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594

También es recomendable la visualización del siguiente vídeo: https://www.youtube.com/watch?v=6dTEtPb5eAo Para realizar la actividad de este tema tienes que: 1. Realizar un volcado de la memoria RAM de tu ordenador realizando las menores modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar el volcado, asegúrate de abrir al menos un navegador web y acceder a varias páginas. 2. Realizar un hash al volcado de la memoria RAM que has realizado.

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

3. Obtener mediante Volatility (u otro software) los siguientes datos: a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo). b. Software utilizado para realizar la adquisición de la memoria RAM. c. Historial de comandos ejecutados en la consola (CMD en Windows). d. Listado de navegadores web en ejecución. e. Listado de conexiones abiertas por dichos navegadores. f.

Historial de navegación de los navegadores web en ejecución.

4. Documentar todo el proceso de volcado, hash y obtención de la información solicitada y entregarlo como resultado de la actividad. No hay que entregar el volcado de la memoria RAM generado.

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

ANÁLISIS DE UN VOLCADO DE MEMORIA Escenario: Para esta práctica utilizaremos una máquina virtual con Windows 10, las herramientas forenses a utilizar son: FTK Imager, phyton y hashmyfiles y volatility Instalamos FTK Imager en la máquina a realizar el volcado, así también hashmyfiles.

1. A través de la herramienta FTK Imager, realizamos un volcado de la memoria RAM

Seleccionamos la carpeta de destino y el nombre del archivo a generar.

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

2. Realizamos un hash al volcado de la memoria RAM a través de la herramienta hashmyfiles.

Seleccionamos el archivo a generar el hash y lo guardamos

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

3. Analizamos el volcado a través de la herramienta volatility a. Formato del volcado; para lo cual utilizamos el plugin imageinfo.

b. Software utilizado para realizar la adquisición de la memoria RAM. Utilizamos el plugin pslist

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

Como podemos observar el software utilizado es FTK iamager

c. Historial de comandos ejecutados en la consola (CMD en Windows).

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

Utilizamos el comando cmdscan

d. Listado de navegadores web en ejecución. Utilizamos el plugin pslist

e. Listado de conexiones abiertas por dichos navegadores. Se utiliza el comando connscan, sin embargo este comando solo esta habilitado para Windows xp y Windows server

f.

Historial de navegación de los navegadores web en ejecución.

TEMA 3 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Análisis forense

12 de febrero de 2017 Nombre:

Volatility standalone no posee el comando chromehistory y su instalación sale de este manual en Windows.

TEMA 3 – Actividades