sábado, 30 de noviembre de 2013

Como hacer un volcado de la RAM

Aprovechando la fria tarde de Sábado, me pongo a probar técnicas de Análisis Forense que solo había visto teóricamente y me empieza a picar la curiosidad porque es tan importante no apagar el ordenador, un caso extremo se produce cuando la policía asalta la casa de un ciberdelincuente para arrestarle y ponerlo a manos de la justicia, el ordenador es una de las principales pruebas que se usaran contra el acusado y para ello se realiza cuando llegan los forenses informáticos un volcado de la RAM que puede contener pruebas solidas para usar en un juicio.

Así que vamos con el laboratorio:

La memoria RAM es una unidad de almacenamiento volátil (pierde los datos cuando se interrumpe el flujo eléctrico.), con lo que un apagado o reinicio podría anular esta evidencia.

El funcionamiento del volcado de RAM es fácil, pero lo difícil hacerlo bien, se usan programas de volcado de RAM  pero al instalarlos estos ya pasarían a sobrescribir bits en la RAM, lo mas usado son herramientas ajenas al equipo y suelen ser el linea de comandos y aprobado por el sistema judicial como que mantiene la integridad de los datos,es decir, los datos no han podido ser manipulados.

Nosotros, como iniciación al análisis forense vamos a usar un programa para este proceso llamado FTK Imager, que nos proporciona una interfaz gráfica sencilla pero util.

Una vez instalada, nos dirigimos al icono que hay una ram pintada y clickamos y decimos donde queremos que se guarde toda la información del volcado de la RAM.


Una vez terminado damos a "close" y nos dirigimos a "Add evidence Item" y seleccionamos que sea sobre un archivo imagen.


Y seleccionamos donde hemos guardado antes el volcado, hay que buscar el archivo .mem


Y nos cargara el archivo, en el veremos 3 columnas destacadas. La primera es la posición de memoria, la segunda los valores hexadecimales en esa posición y la tercera codificación ANSI.

En esta imagen se puede ver una localización sobre datos personales, que use para un formulario en una pagina de Internet.

Como el archivo suele ser muy grande que haríamos sin un buscador, para acceder a el Control+F y realizar nuestras búsquedas personalizadas de palabras clave.

También otra de las utilidades es extraer la SAM y el System, que es donde se guardan los usuarios del sistema y luego podríamos usar ophcrack para conseguir descifrar las contraseñas.


Un placer haber podido sacar un tiempo valioso en semana de exámenes para compartir conocimiento, espero que vuestra curiosidad no se quede en estas lineas y sigáis jugando con la herramienta.

Saludos guerreros!!

No hay comentarios:

Publicar un comentario