Scribd
Cargar
359 vistas15 páginas

Análisis Forense de Volcado de Memoria

El documento describe una actividad de análisis forense de un volcado de memoria RAM de un equipo incautado por la policía relacionado con un robo. El estudiante debe analizar el volcado usando herramientas forenses para responder preguntas de la policía sobre la página web visitada por el atracador, si el ataque fue planificado o fortuito, y si se pueden recuperar imágenes del volcado. El estudiante explica cómo usar PhotoRec para recuperar archivos del volcado y presenta sus hallazgos.

Cargado por

medtrachi
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
359 vistas15 páginas

Análisis Forense de Volcado de Memoria

El documento describe una actividad de análisis forense de un volcado de memoria RAM de un equipo incautado por la policía relacionado con un robo. El estudiante debe analizar el volcado usando herramientas forenses para responder preguntas de la policía sobre la página web visitada por el atracador, si el ataque fue planificado o fortuito, y si se pueden recuperar imágenes del volcado. El estudiante explica cómo usar PhotoRec para recuperar archivos del volcado y presenta sus hallazgos.

Cargado por

medtrachi
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Asignatura Datos del alumno Fecha

Apellidos: Rodríguez Castro


26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Actividades

Trabajo: Análisis de un volcado de memoria RAM de un equipo

En esta actividad tendremos que realizar el análisis de un volcado de memoria RAM de


un equipo.

Para la realización de la presente actividad solo va a ser necesario el uso de los programas:
WinHex, en su versión 16.6 y PhotoRec, este último para la recuperación de archivos
dentro del propio volcado.

Antes de comenzar la actividad, lo primero es ubicar el archivo que contiene el volcado


de la memoria RAM del equipo,”memory.dump” disponible en su carpeta– Taller RAM

El volcado, pertenece a un equipo que fue incautado por la Policía Nacional al atracador
de la pizzería Telepizza, de la calle Gaztambide, en la zona de Moncloa, en Madrid.

Los policías que incautaron el equipo, realizaron un volcado de la memoria RAM y


posteriormente lo apagaron «tirando del cable». Al llegar a tus manos, descubres que el
equipo carece de disco duro, por lo que lo único que tienes para analizar es el volcado
realizado por la Policía, quien te comenta que antes de apagarlo les pareció ver un
documento de texto y una página web abiertos en el equipo, aunque minimizados.

También te comentan que el atraco fue realizado a punta de pistola, con una pistola
marca Beretta, modelo 92FS.

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

La actividad consiste en responder en un documento de texto a las siguientes preguntas


que realiza el equipo de investigación de la Policía:

¿Qué página web estaba visitando el atracador?


¿Fue planificado el ataque o fue fortuito?
¿Se pueden recuperar, del volcado de la memoria RAM, las imágenes que estaba
visualizando el detenido?

Como ayuda, comentar que prácticamente todo lo que se está escribiendo en un


programa, se puede obtener en claro de la memoria RAM, por lo que búsquedas por
palabras como «Telepizza» o «Gaztambide» pueden ser interesantes.

Por otro lado, para responder a la tercera pregunta que hace la policía, decir que se
puede realizar una recuperación de archivos sobre un volcado de la memoria RAM, por
lo que sería interesante utilizar el programa PhotoRec, antes mencionado (probando
con distintas opciones del mismo), para ver qué se obtiene.

Además, de responder a las preguntas antes planteadas, deberás incluir un apartado en


el que expongas:

¿Qué has aprendido de este tema que no supieras?


¿Qué cosas ya sabías y con la lectura de este tema has comprendido mejor?
Se valorará la claridad en las explicaciones y el acompañar las mismas de imágenes del
proceso.

Valor HASH del Volcado de Memoria


MD5 559dca66a7b068070f9d3c9ce22edf35
SHA1 77ff3f0c8ffd7d46ea87e0261076fdad2b88b641

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Como utilizar el Photorec:


Se pretende recuperar la mayor cantidad de archivos posibles desde nuestro volcado de
memoria denominado “memory.dump” que es un volcado de memoria tipo dmp creado
por Windows, de igual manera se puede obtener un volcado de memoria con
herramientas como FTK Imager o DumpId.

Para analizar el volcado de memoria “memory.dump” con la utilidad Photorec


seguiremos los siguientes pasos:

Se ejecuta CMD de Windows:

Se ejecuta el archivo photorec_win.exe desde la ruta en donde se encuentre haciendo


referencia al archivo memory.dump, para este ejemplo se vera asi:

En este momento ya se ha ejecutado la utilidad photorec y se ha subido el archivo


memory.dump de manera exitosa:

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Se verifica que sea correcto y se elige [Proceed] al siguiente paso:


A continuación se realizara la búsqueda [Search] en la partición que se ha especificado,
en este caso el archivo memory.dump:

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Para recuperar archivos, photorec requiere que se especifique el tipo de sistema de


archivos que se va a explorar, en este caso es del tipo Fat/NTFS [Other]:

Paso seguido se debe elegir una carpeta de destino para los archivos recuperados, en
este caso se tiene creada previamente la carpeta denominada “recuperadas”

Enter sobre la carpeta de nombre “recuperadas”

Al estar seguros de que esa es la carpeta adecuada se escoge la opción C y se da inicio a


la recuperación de archivos desde el volcado de memoria:

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Se culmina de manera exitosael proceso y se recuperan 354 archivos los cuales se


encuentran dentro de la carpeta “recuperadas” suncarpeta “recup_dir” creada
automaticamente.

Se dirigen a esta carpeta e inician el análisis de cada uno de los archivos en busca de la
información que sea relevante para el caso.

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Solución.
1. Verificamos el hash.

MD5 559dca66a7b068070f9d3c9ce22edf35
SHA1 77ff3f0c8ffd7d46ea87e0261076fdad2b88b641

Como los hashes coinciden se puede iniciar a realizar el análisis del archivo.

¿Qué página web estaba visitando el atracador?


RTA:

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

Análisis de un Volcado de Memoria -Actividades-


Asignatura Datos del alumno Fecha
Apellidos: Rodríguez Castro
26/10/2019
Técnicas Forenses Nombre: Cristian Camilo

¿Fue planificado el ataque o fue fortuito?

RTA: Según lo descubierto del volcado de memoria el ataque fue planificado.

¿Se pueden recuperar, del volcado de la memoria RAM, las imágenes que estaba
visualizando el detenido?

Análisis de un Volcado de Memoria -Actividades-

También podría gustarte