Scribd
Cargar
26 vistas12 páginas

Taller Ram

El taller se centra en la captura y análisis forense de la memoria RAM utilizando herramientas como MRAMCapture, HasMyFile, Bulk Extractor View, FTK Imager y PhotoRec. Se detalla un procedimiento estructurado que incluye la creación de una imagen forense, verificación de integridad y análisis de datos relevantes. Este proceso es crucial para preservar la cadena de custodia digital y asegurar la validez de la información obtenida.

Cargado por

vperez2
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
26 vistas12 páginas

Taller Ram

El taller se centra en la captura y análisis forense de la memoria RAM utilizando herramientas como MRAMCapture, HasMyFile, Bulk Extractor View, FTK Imager y PhotoRec. Se detalla un procedimiento estructurado que incluye la creación de una imagen forense, verificación de integridad y análisis de datos relevantes. Este proceso es crucial para preservar la cadena de custodia digital y asegurar la validez de la información obtenida.

Cargado por

vperez2
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

TALLER RAM

CAPTURA Y ANÁLISIS FORENSE DE MEMORIA RAM

LUIS ALFERIS BALTA AGUILAR

CRIMINALISTICA 4Q
DELITOS INFORMÁTICOS

DOCENTE
CARLOS ARTURO BELTRAN GÓMEZ

🖥 HERRAMIENTAS UTILIZADAS:
MRAMCAPTURE
HASMYFILE
BULK EXTRACTOR VIEW
FTK IMAGER
PHOTOREC

UNIVERSIDAD DE INVESTIGACIÓN Y DESARROLLO (UDI)


02 DE MARZO DE 2025
Introducción

En este taller se llevará a cabo la captura y análisis forense de la memoria RAM de un equipo,
utilizando herramientas especializadas. La memoria RAM contiene información volátil que puede
ser clave en una investigación, como credenciales, procesos en ejecución y fragmentos de
archivos. A través de un procedimiento estructurado, se generará una imagen forense en formato
RAW, se verificará su integridad y se analizará en busca de datos relevantes.

El procedimiento se dividirá en varias fases: primero, se extraerá una imagen forense de la memoria
RAM en formato RAW utilizando MRAMCapture; luego, se verificará su integridad con HasMyFile;
posteriormente, se analizarán los datos almacenados mediante Bulk Extractor View para
identificar información estructurada; y finalmente, se empleará PhotoRec para recuperar archivos
eliminados que puedan contener evidencia.

Este proceso es fundamental para preservar la cadena de custodia digital y garantizar la validez de
la información obtenida.

Herramientas utilizadas y pasos en su aplicación

1. MRAMCapture

MRAMCapture es una herramienta especializada en la captura forense de la memoria RAM. Su


función principal es generar una copia exacta del contenido volátil del sistema en el momento de la
adquisición, creando un archivo en formato RAW.

Actividad

Se procede a ejecutar el programa MRAMCapture para realizar la imagen forense del equipo en
cuestión. Al iniciarlo, se habilita la opción "Browse…", la cual permite guardar la imagen forense en
un lugar de preferencia. En este caso, se selecciona una carpeta ubicada en el escritorio del
equipo, nombrada "Actividad Delitos".

Asimismo, se asigna el nombre "680016000132202400001" a la imagen forense. Posteriormente,


se hace clic en la opción "Start" para ejecutar la captura forense de la memoria RAM del equipo.
En este momento, se ha obtenido la imagen forense y el programa muestra una ventana emergente
confirmando la ubicación donde fue almacenada y el nombre del archivo generado en formato
RAW.

Se observan las propiedades de la imagen forense obtenida mediante el programa MRAMCapture,


con el nombre "680016000132202400001".

2. HASMYFILE

HasMyFile es una aplicación diseñada para calcular los valores hash de archivos digitales. En el
análisis forense, el uso de hashes como MD5, SHA-1 y SHA-256 permite verificar la autenticidad e
integridad de la imagen forense, asegurando que no ha sido modificada después de su captura.
Comparar los valores hash antes y después del análisis es crucial para demostrar que la evidencia
se mantiene intacta.

Actividad
Se ejecuta el programa HasMyFile, se hace clic en la opción "Add Files", y se selecciona la imagen
forense en formato RAW con el nombre "680016000132202500001". Luego, se da clic en la opción
"Abrir".

Se agrega la imagen forense al programa.

Se selecciona la opción "Save Selected Items", y se guarda el archivo de hash.


Se observan las propiedades del archivo de hash generado para la imagen forense a través de
HasMyFile.

3. BULK EXTRACTOR VIEW

Bulk Extractor View es una herramienta avanzada de análisis forense que permite extraer
automáticamente información estructurada de archivos de imagen forense. Puede identificar datos
como:

• Direcciones de correo electrónico.

• Credenciales y contraseñas.

• URLs y enlaces web.

• Metadatos de archivos.

• Números de tarjetas de crédito.

Su capacidad de análisis en profundidad lo convierte en una herramienta valiosa para identificar


patrones y posibles evidencias en investigaciones digitales.

Actividad
Se ejecuta el programa Bulk Extractor View, se sube la imagen forense en formato RAW para
procesarla y se selecciona la carpeta donde se desean guardar los archivos procesados por Bulk
Extractor.

Se procesa la imagen forense para obtener información estructurada de los archivos.

Se generan los archivos procesados, almacenados en una carpeta con el nombre "Bulk".
Se identifican datos extraídos como:

• Direcciones de correo electrónico.

• Credenciales y contraseñas.

• URLs y enlaces web.

• Metadatos de archivos.

• Números de tarjetas de crédito.

4. FTK IMAGER

FTK Imager es una herramienta forense utilizada para capturar, visualizar y analizar imágenes de
discos y memoria. En imágenes RAW, permite la adquisición sin alteraciones, genera hashes para
verificar su integridad, monta imágenes sin restaurarlas y extrae archivos, facilitando el análisis
forense digital.
5. PHOTOREC

PhotoRec es un software especializado en la recuperación de archivos eliminados, incluso


si el sistema de archivos está dañado o formateado. Su funcionamiento se basa en la
búsqueda de firmas de archivos para recuperar datos de imágenes, documentos, vídeos,
y otros formatos. En el análisis de memoria RAM, PhotoRec puede ser útil para recuperar
fragmentos de archivos temporales que hayan sido eliminados por el sistema o el usuario.
Actividad

Abrimos el Símbolo del sistema (CMD) y ubicamos el directorio donde se encuentra el programa
PhotoRec. Una vez dentro de la carpeta del programa, digitamos el siguiente comando:

photorec_win.exe ../680016000132202500001.raw

Con este comando, le indicamos a CMD que ejecute PhotoRec con la imagen forense
"680016000132202500001.raw". Posteriormente, se inicia la ejecución del programa.
Dentro de PhotoRec, nos movemos con la flecha derecha hasta llegar a la opción "File Opt" y
presionamos Enter.

Aparecerá un listado donde seleccionamos, con la barra espaciadora, los tipos de archivos de
interés. En este caso, elegimos diferentes formatos de imágenes. Al finalizar la selección,
presionamos Enter.
Nos movemos con la flecha izquierda hasta llegar a la opción "Search", y presionamos Enter.

Buscamos la carpeta donde guardaremos las imágenes recuperadas. Para salir de la carpeta
PhotoRec, seleccionamos la opción ".. " (doble punto).
Nos ubicamos en el directorio donde queremos guardar la carpeta con las imágenes recuperadas y
presionamos Enter.

Se completa el proceso de recuperación y descarga de los archivos en el destino seleccionado.


verificamos la carpeta generada con el nombre "recup_dir.1".

Finalmente Dentro de esta carpeta, encontramos las imágenes recuperadas de la imagen forense.

También podría gustarte