Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Análisis de volcado de RAM

    Загружено:

    jonathann5_15862
    2K просмотров8 страниц
    Análisis Forense, Volcado de memoria RAM

    Оригинальное название

    Análisis de un volcado de memoria RAM de un equipo

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Análisis Forense, Volcado de memoria RAM

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    2K просмотров8 страниц

    Análisis de volcado de RAM

    Загружено:

    jonathann5_15862
    Análisis Forense, Volcado de memoria RAM

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 8

    Asignatura Datos del alumno Fecha

    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    Actividades

    Anlisis de un volcado de memoria RAM de un equipo

    En esta actividad tendremos que realizar el anlisis de un volcado de memoria RAM de


    nuestro equipo.

    Para realizar un anlisis exhaustivo de un volcado de memoria RAM es necesario hacer uso
    de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten
    realizar multitud de acciones sobre el volcado obtenido. Aunque tambin es posible un
    anlisis ms sencillo realizando bsquedas de cadenas de texto y recuperacin de archivos
    sobre el propio volcado.

    Antes de comenzar la actividad, es recomendable la lectura del manual publicado en


    Google Code, el cual est disponible en:
    https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594

    Tambin es recomendable la visualizacin del siguiente vdeo:


    https://www.youtube.com/watch?v=6dTEtPb5eAo

    Para realizar la actividad de este tema tienes que:

    1. Realizar un volcado de la memoria RAM de tu ordenador realizando las menores


    modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar
    el volcado, asegrate de abrir al menos un navegador web y acceder a varias pginas.

    2. Realizar un hash al volcado de la memoria RAM que has realizado.

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    3. Obtener mediante Volatility (u otro software) los siguientes datos:

    a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo).
    b. Software utilizado para realizar la adquisicin de la memoria RAM.
    c. Historial de comandos ejecutados en la consola (CMD en Windows).
    d. Listado de navegadores web en ejecucin.
    e. Listado de conexiones abiertas por dichos navegadores.
    f. Historial de navegacin de los navegadores web en ejecucin.
    4. Documentar todo el proceso de volcado, hash y obtencin de la informacin
    solicitada y entregarlo como resultado de la actividad. No hay que entregar el
    volcado de la memoria RAM generado.

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    ANLISIS DE UN VOLCADO DE MEMORIA

    Escenario:

    Para esta prctica utilizaremos una mquina virtual con Windows 10, las herramientas
    forenses a utilizar son: FTK Imager, phyton y hashmyfiles y volatility

    Instalamos FTK Imager en la mquina a realizar el volcado, as tambin hashmyfiles.

    1. A travs de la herramienta FTK Imager, realizamos un volcado de la memoria


    RAM

    Seleccionamos la carpeta de destino y el nombre del archivo a generar.

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    2. Realizamos un hash al volcado de la memoria RAM a travs de la herramienta


    hashmyfiles.

    Seleccionamos el archivo a generar el hash y lo guardamos

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    3. Analizamos el volcado a travs de la herramienta volatility

    a. Formato del volcado; para lo cual utilizamos el plugin imageinfo.

    b. Software utilizado para realizar la adquisicin de la memoria RAM.

    Utilizamos el plugin pslist

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    Como podemos observar el software utilizado es FTK iamager

    c. Historial de comandos ejecutados en la consola (CMD en Windows).

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    Utilizamos el comando cmdscan

    d. Listado de navegadores web en ejecucin.

    Utilizamos el plugin pslist

    e. Listado de conexiones abiertas por dichos navegadores.

    Se utiliza el comando connscan, sin embargo este comando solo esta


    habilitado para Windows xp y Windows server

    f. Historial de navegacin de los navegadores web en ejecucin.

    TEMA 3 Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Anlisis forense 12 de febrero de 2017
    Nombre:

    Volatility standalone no posee el comando chromehistory y su instalacin


    sale de este manual en Windows.

    TEMA 3 Actividades

    Вам также может понравиться