Академический Документы
Профессиональный Документы
Культура Документы
relacionados de:
Este tipo de estudio con la información que se encuentre, puede ser de gran ayuda para casos
complejos, en donde el análisis informático forense clásico no resulta suficiente y es necesario de
herramientas más profundas y especializadas en el campode la seguridad informática.
En la investigación de ciertos casos penales, ciertos ataques no dejan rastros en el disco rígido, por
lo que sólo será posible encontrar indicios del hecho mediante el análisis de la memoria principal.
Llevando a cabo el análisis forense de memoria es posible identificar qué procesos estuvieron
ejecutando y desde cuándo, entre otros datos importantes, que puedan derivar en información
relevante para la investigación.
El análisis de memoria es una disciplina y especialidad nueva en la informática forense con énfasis
en las herramientas que proveen la capacidad de capturar un volcado de memoria.
Entre las aplicaciones especializadas que se utilizan para este tipo de análisis forense, en el campo
comercial tenemos Mandiant Memoryze y MoonSols Windows Memory Toolkit; y herramientas
libres Open Source tenemos Volatility1 y Rekall.
El malware es software malintencionado que pretende ser indetectable y hacer uso del sistema
operativo con el más alto nivel de privilegios, para poder llevar adelante su objetivo por eso, esta
clase de software se relaciona con procesos muchas veces ocultos en la memoria.
Estas categorías son para estudiar, no son únicas pues los malwares aparecen todos los días con
cada tipo de nueva tecnología que se desarrolla, por eso, el análisis forense de la memoria principal
se vuelve una herramienta imprescindible para los casos en donde pueda haber evidencia digital
relacionada con un malware.
En el proceso pueden reconocerse las tareas del analista forense remarcadas en recuadros color
naranja, y en los recuadros azules las tareas que se realizan con una o varias herramientas de
análisis de memoria. El reconocimiento de estructuras consiste en identificar los distintos artefactos
del sistema operativo que pueden encontrarse dentro de la memoria explorando el volcado que se
generó en la etapa previa.
El paso siguiente consiste en relacionar los distintos artefactos identificados. Por ejemplo:
relacionar los procesos con las conexiones TCP, o procesos con módulos; y así poder establecer
vínculos entre los datos recolectados que puedan resultar en información útil para el experto
forense.
El análisis automático consiste en la obtención automatizada de información a partir de los datos
identificados previamente, como puede ser la detección de posibles procesos ocultos o
adulteraciones al Sistema Operativo, y demás información que pueda posteriormente ser analizada
por el informático forense. Para la realización de esta tarea se requiere software específico que sea
capaz de interpretar las estructuras de un determinado kernel de un Sistema Operativo.
Como cualquier escena de un crimen, es de suma importancia contaminar ésta lo menos posible,
motivo por el cual, teniendo en consideración todo lo expuesto previamente, es prioridad generar el
volcado de memoria antes de avanzar con cualquier otro análisis o tarea sobre el equipo.
Esta rama de la informática forense requiere de profesionales con conocimientos profundos sobre
sistemas operativos y distintas plataformas, es como analogamente sería en medicina, una operación
del cerebro con el cráneo abierto y con el paciente sin dormir, un trabajo bastante delicado y de
mucha consideración.