Asignatura Datos del alumno Fecha

Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

Actividades

Análisis de un volcado de memoria RAM de un equipo

En esta actividad tendremos que realizar el análisis de un volcado de memoria RAM de

nuestro equipo.

Para realizar un análisis exhaustivo de un volcado de memoria RAM es necesario hacer uso
de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten
realizar multitud de acciones sobre el volcado obtenido. Aunque también es posible un
análisis más sencillo realizando búsquedas de cadenas de texto y recuperación de archivos
sobre el propio volcado.

Antes de comenzar la actividad, es recomendable la lectura del manual publicado en

Google Code, el cual está disponible en:
https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594

También es recomendable la visualización del siguiente vídeo:

https://www.youtube.com/watch?v=6dTEtPb5eAo

Para realizar la actividad de este tema tienes que:

1. Realizar un volcado de la memoria RAM de tu ordenador realizando las menores

modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar
el volcado, asegúrate de abrir al menos un navegador web y acceder a varias páginas.

2. Realizar un hash al volcado de la memoria RAM que has realizado.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

3. Obtener mediante Volatility (u otro software) los siguientes datos:

a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo).
b. Software utilizado para realizar la adquisición de la memoria RAM.
c. Historial de comandos ejecutados en la consola (CMD en Windows).
d. Listado de navegadores web en ejecución.
e. Listado de conexiones abiertas por dichos navegadores.
f. Historial de navegación de los navegadores web en ejecución.
4. Documentar todo el proceso de volcado, hash y obtención de la información
solicitada y entregarlo como resultado de la actividad. No hay que entregar el
volcado de la memoria RAM generado.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

ANÁLISIS DE UN VOLCADO DE MEMORIA

Escenario:
Para esta práctica utilizaremos una máquina virtual con Windows 10, las herramientas
forenses a utilizar son: FTK Imager, phyton y hashmyfiles y volatility
Instalamos FTK Imager en la máquina a realizar el volcado, así también hashmyfiles.

1. A través de la herramienta FTK Imager, realizamos un volcado de la memoria

RAM

Seleccionamos la carpeta de destino y el nombre del archivo a generar.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

2. Realizamos un hash al volcado de la memoria RAM a través de la herramienta

hashmyfiles.

Seleccionamos el archivo a generar el hash y lo guardamos

3. Analizamos el volcado a través de la herramienta volatility

a. Formato del volcado; para lo cual utilizamos el plugin imageinfo.

b. Software utilizado para realizar la adquisición de la memoria RAM.

Utilizamos el plugin pslist

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

Como podemos observar el software utilizado es FTK iamager

c. Historial de comandos ejecutados en la consola (CMD en Windows).

Utilizamos el comando cmdscan

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

d. Listado de navegadores web en ejecución.

Utilizamos el plugin pslist

e. Listado de conexiones abiertas por dichos navegadores.

Se utiliza el comando connscan, sin embargo este comando solo esta
habilitado para Windows xp y Windows server

f. Historial de navegación de los navegadores web en ejecución.

Volatility standalone no posee el comando chromehistory y su instalación
sale de este manual en Windows.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

Sobre la Fundación Volatily

En 2007, la primera versión de The Volatility Framework se lanzó

públicamente en Black Hat DC. El software se basó en años de
investigación académica publicada sobre análisis avanzado de memoria y
análisis forense. Hasta ese momento, las investigaciones digitales se
habían centrado principalmente en encontrar contrabando en las
imágenes del disco duro. La volatilidad introdujo a las personas en el
poder de analizar el estado de ejecución de un sistema utilizando los
datos que se encuentran en el almacenamiento volátil (RAM). También
proporcionó una plataforma multiplataforma, modular y extensible para
alentar el trabajo adicional en esta área de investigación
apasionante. Otro objetivo importante del proyecto era fomentar la
colaboración, la innovación y la accesibilidad al conocimiento que
había sido común dentro de las comunidades de software ofensivo.

Desde entonces, el análisis de la memoria se ha convertido en uno de

los temas más importantes para el futuro de las investigaciones
digitales y Volatility se ha convertido en la plataforma forense de
memoria más utilizada del mundo. El proyecto cuenta con el respaldo de
una de las comunidades más grandes y activas de la industria forense.
La volatilidad también proporciona una plataforma única que permite
que la investigación de vanguardia pase de inmediato a manos de
investigadores digitales. Como resultado, la investigación construida
sobre la volatilidad ha aparecido en las conferencias académicas más
importantes y la volatilidad se ha utilizado en algunas de las
investigaciones más críticas de la última década. Se ha convertido en
una herramienta de investigación digital indispensable en la que
confían investigadores policiales, militares, académicos y comerciales
de todo el mundo.

Al aire libre

El desarrollo de la volatilidad ahora es apoyado por The Volatility

Foundation, una organización independiente sin fines de lucro 501 (c)
(3). La fundación se estableció para promover el uso del análisis de
volatilidad y memoria dentro de la comunidad forense, para defender la
propiedad intelectual del proyecto (marcas registradas, licencias,
etc.) y la longevidad, y, finalmente, para ayudar a avanzar en la
investigación innovadora de análisis de memoria. En este sentido, la
fundación también se formó para ayudar a proteger los derechos de los
desarrolladores que sacrifican su tiempo y recursos para hacer que la
plataforma forense de memoria más avanzada del mundo sea gratuita y de
código abierto.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis forense 12 de febrero de 2017
Nombre:

FTK es una plataforma de investigaciones digitales aprobada por tribunales, que esta diseñada
para ser veloz, analítica y contar con escalabilidad de clase empresarial. Conocido por su
interfaz intuitiva, el análisis de correo electrónico, las vistas personalizadas de datos y su
estabilidad, FTK establece el marco para una expansión sin problemas, por lo que su solución
de informática forense puede crecer de acuerdo a las necesidades de su organización.

Adicionalmente, AccessData ofrece nuevos módulos de expansión, entregando el primer

software de esta industria con capacidad de análisis y con visualización de última generación.
Estos módulos se integran con FTK para crear la plataforma de informática forense más
completa en el mercado.

Cerberus
Cerberus es una tecnología de clasificación de malware que está disponible como accesorio
para FTK 4. El primer paso hacia la ingeniería inversa automatizada. Cerberus califica las
amenazas y hace un análisis de desmontaje para determinar tanto el comportamiento como la
intención de binarios sospechosos.

Visualización
Vista de datos en varios formatos, incluyendo líneas de tiempo, gráficos de clúster, gráficos
circulares y más. Determine rápidamente las relaciones en los datos, encuentre piezas claves
de información y genere informes que son fácilmente entendidos por los abogados, los
Oficiales de Información (CIOs) u otros investigadores.
[ CITATION Lyd19 \l 2058 ]

TEMA 3 – Actividades