Scribd
Cargar
101 vistas6 páginas

Análisis Forense de Memoria RAM con Volatility

La policía intervino un computador portátil durante una investigación y capturó la memoria RAM. El análisis de la memoria RAM muestra que el sistema operativo era Windows XP SP2 o SP3 de 32 bits, y que se capturó a las 22:17:12 del 17 de marzo de 2013. Se identificaron varios procesos activos como TrueCrypt y WinRAR, y se pudieron descifrar las contraseñas de tres de los siete usuarios registrados. El análisis se centró en el proceso TrueCrypt, donde se identificó el directorio cifrado como

Cargado por

Omar Andres Castañeda Lizarazo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd
101 vistas6 páginas

Análisis Forense de Memoria RAM con Volatility

La policía intervino un computador portátil durante una investigación y capturó la memoria RAM. El análisis de la memoria RAM muestra que el sistema operativo era Windows XP SP2 o SP3 de 32 bits, y que se capturó a las 22:17:12 del 17 de marzo de 2013. Se identificaron varios procesos activos como TrueCrypt y WinRAR, y se pudieron descifrar las contraseñas de tres de los siete usuarios registrados. El análisis se centró en el proceso TrueCrypt, donde se identificó el directorio cifrado como

Cargado por

Omar Andres Castañeda Lizarazo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd

Volatity Modulo3

Análisis forense memoria RAM

Omar Andrés Castañeda Lizarazo


Est ingenieria de software
[email protected]

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 1 de 6


Volatity Modulo3

Antecedentes

A raíz de una investigación, la policía realiza una entrada y registro en el domicilio particular
de una persona. En el transcurso de esta diligencia policial se interviene un computador
portátil, el cual, en el momento de efectuar la entrada, se encontraba en funcionamiento. Los
agentes especializados que participan en la diligencia deciden realizar una captura de la
memoria RAM del computador. Seguidamente, los mismos agentes obtienen una imagen del
disco duro del portátil decomisado. Los archivos imagen correspondientes a la memoria y al
disco duro llegan al laboratorio donde trabajas y tu jefe te asigna la tarea de realizar el
análisis de la memoria RAM.

El archivo imagen de la memoria RAM llega acompañado de un informe que, entre otra
información, recoge el valor hash de adquisición de la evidencia:

MD5 is: ce6f660f20209fb1e3ac8f28c762db81

Analisis de la memoria ram

Fuentes de información y datos de partida:

- Dump de memoria RAM con su respectivo checksum para la posterior validación.

Se realiza la verificación del checksum md5 de la imagen tomada como evidencia, esta
verificación se realiza con la herramienta FCIV de Microsoft, la cual muestra el mismo hash
sobre la imagen a analizar los cual nos garantiza la integridad de este archivo a verificar.

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 2 de 6


Volatity Modulo3

A continuación, se procede con la verificación del sistema operativo que corre sobre el
equipo a el cual se le realizó el dump de memoria RAM, así como la hora exacta en la cual
se realizó la toma de dicho volcado de memoria.

Como se puede observar en la imagen el sistema operativo instalado es un Windows XP


SP2 o SP3 de 32 bits. Y el volcado de la memoria RAM fue tomado en el 2013-03-17
22:17:12
Una de las cosas importantes solicitadas para el caso y necesarias a verificar han sido los
procesos que corren sobre el sistema operativo en ese momento, para lo cual se extrae
dicha información.

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 3 de 6


Volatity Modulo3

Si ignoramos los procesos del propio sistema operativo, vemos una serie de procesos que
debemos tener en consideración:

TrueCrypt.exe: proceso utilizado para cifrar todo o parte de una unidad de almacenamiento.
Tratar de obtener el contenido cifrado y las claves para descifrarlo

WinRAR.exe: Proceso utilizado para la compresión de archivos.

AsEPCMon.exe: es un archivo ejecutable (un programa) para Windows. La extensión.exe


del nombre del archivo es una abreviatura de ejecutable (ejecutable). Lance programas
ejecutables únicamente de fuentes en las que confía

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 4 de 6


Volatity Modulo3

Validado un hash del usuario y password en el sistema se ha observado que este tiene 7
usuarios actualmente tal como se observa a continuación:

A continuación, se muestras las contraseñas descifradas de inicio se utiliza John de ripper


para hacer el crack de las contraseñas, y este solo muestra tres.

USUARIO Contraseñas
Administrador
Invitado
SUPPORT_388945a0
Asistente de ayuda ???????TPX25HC
Juan Solo JUANS1978
Nadine NADINE1980
ASPNET

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 5 de 6


Volatity Modulo3

Después de esto nos centraremos principalmente sobre el proceso de truecrypt, ya que


volatility nos permite de forma sencilla recuperar información de esta herramienta en
especifico

Podemos ver que el directorio cifrado y contenedor, el cual es:


C:\Documents and Settings\Juan Solo\Mis documentos\Mine
Después de esto se realiza la extracción de la llave maestra

Final mente se observa que el algoritmo de cifrado utilizado es AES

Elaborado por Ing. Omar Andres Castañeda Liazrazo 2020 Pag. 6 de 6

También podría gustarte