Uniminuto
29-01-2024
Docente: Ing. Alexander Gordillo Gaitan, Msc.
Taller Volatility
Análisis volcado de memoria
En el ámbito de la seguridad informática y la ciberseguridad, el análisis forense digital es una disciplina
esencial que se encarga de investigar incidentes cibernéticos y descubrir pruebas digitales que puedan
ser utilizadas en procesos legales. Uno de los escenarios más desafiantes y críticos en esta disciplina es
la investigación de un volcado de memoria de un equipo vulnerado. En esta actividad de nivel
universitario, nos adentraremos en el apasionante mundo del análisis forense, centrándonos en un
caso de estudio que involucra una evidencia crucial: un volcado de memoria de un sistema
comprometido.
La complejidad de los ataques cibernéticos ha evolucionado de manera exponencial en los últimos
años, lo que ha llevado a un aumento en la demanda de profesionales capaces de abordar estas
amenazas de manera efectiva. Los volcados de memoria son un recurso invaluable para los
investigadores forenses, ya que contienen una gran cantidad de información sobre el comportamiento
del sistema comprometido, los exploits utilizados y posibles pistas sobre los perpetradores.
Durante esta actividad, exploraremos los fundamentos del análisis forense digital, desde la adquisición
segura de un volcado de memoria hasta la extracción y examen de datos relevantes. También
analizaremos los desafíos que enfrentan los investigadores al trabajar con evidencia de este tipo,
incluyendo la volatilidad de la memoria y las técnicas utilizadas por los atacantes para ocultar sus
huellas.
Esta actividad tiene como objetivo brindar a los estudiantes una comprensión sólida de los principios
y técnicas fundamentales del análisis forense digital, así como prepararlos para enfrentar desafíos
reales en el campo de la ciberseguridad. Esperamos que esta experiencia enriquecedora les permita
desarrollar habilidades esenciales para la protección de sistemas y datos en un mundo cada vez más
digitalizado y amenazante.
Página 1
�Taller Volatility
Análisis volcado de memoria
Comandos guía
01 Sha1sum Pregunta 1
¿Cuál es el hash SHA1 para la evidencia (volcado de memoria)?
02 imageinfo
Pregunta 2
¿Cuál es el perfil más apropiado que debe usarse en Volatility para la
03 pslist evidencia?
Pregunta 3
04 pstree ¿Cuál es el ID del proceso de [Link]?
05 netscan Pregunta 4
¿Cuál es el nombre del proceso “hijo” de [Link]?
06 netscan
Pregunta 5
¿Cuál era la dirección IP de la máquina en el momento en que se creó el
07 dlllist volcado de RAM?
08 procdump Pregunta 6
¿Según la respuesta sobre el PID infectado, ¿puede determinar la IP del
atacante?
09 hashdump
Pregunta 7
10 cmdline ¿Cuántos procesos están asociados con [Link]?
Pregunta 8
11 shimcache Realizar el volcado del proceso infectado y realizar el hash MD5
Pregunta 9
12 strings -e l [Link] ¿Cuál es el hash LM de la cuenta de Bob?
Pregunta 10
Hay un script VBS que se ejecutaba en la máquina. ¿Cómo se llama el
script?
Página 2
� Pregunta 11
13 mftparser ¿Se ejecutó una aplicación el 07/03/2019 a las [Link] UTC? ¿Cuál es el
nombre del programa?
14 imageinfo
Pregunta 12
¿Identificar el Flag {xxxxxxx} qué está escrito en [Link] en el
03 pstree momento en que se capturó el volcado de memoria?
Pregunta 13
¿Cuál es el nombre corto del archivo en el registro 59045?
Pregunta 14
Este equipo fue vulnerado y está ejecutando meterpreter. ¿Cuál fue el PID
infectado?
Página 3
