Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 301 vistas

    Analisis Forense

    Cargado por

    XavierAuditore
    El documento describe una actividad de análisis forense que involucra la realización de un volcado de memoria RAM de una máquina, el hash del volcado, y el análisis del volcado usando la herramienta Volatility para obtener información como el formato del volcado, software usado, historial de comandos, navegadores abiertos y conexiones. También resume brevemente la historia y propósito de la Fundación Volatility.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Analisis Forense

    Cargado por

    XavierAuditore
    301 vistas8 páginas
    El documento describe una actividad de análisis forense que involucra la realización de un volcado de memoria RAM de una máquina, el hash del volcado, y el análisis del volcado usando la herramienta Volatility para obtener información como el formato del volcado, software usado, historial de comandos, navegadores abiertos y conexiones. También resume brevemente la historia y propósito de la Fundación Volatility.

    Título original

    Analisis Forense.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe una actividad de análisis forense que involucra la realización de un volcado de memoria RAM de una máquina, el hash del volcado, y el análisis del volcado usando la herramienta Volatility para obtener información como el formato del volcado, software usado, historial de comandos, navegadores abiertos y conexiones. También resume brevemente la historia y propósito de la Fundación Volatility.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    301 vistas8 páginas

    Analisis Forense

    Cargado por

    XavierAuditore
    El documento describe una actividad de análisis forense que involucra la realización de un volcado de memoria RAM de una máquina, el hash del volcado, y el análisis del volcado usando la herramienta Volatility para obtener información como el formato del volcado, software usado, historial de comandos, navegadores abiertos y conexiones. También resume brevemente la historia y propósito de la Fundación Volatility.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 8

    Asignatura Datos del alumno Fecha

    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    Actividades

    Análisis de un volcado de memoria RAM de un equipo

    En esta actividad tendremos que realizar el análisis de un volcado de memoria RAM de


    nuestro equipo.

    Para realizar un análisis exhaustivo de un volcado de memoria RAM es necesario hacer uso
    de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten
    realizar multitud de acciones sobre el volcado obtenido. Aunque también es posible un
    análisis más sencillo realizando búsquedas de cadenas de texto y recuperación de archivos
    sobre el propio volcado.

    Antes de comenzar la actividad, es recomendable la lectura del manual publicado en


    Google Code, el cual está disponible en:
    https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594

    También es recomendable la visualización del siguiente vídeo:


    https://www.youtube.com/watch?v=6dTEtPb5eAo

    Para realizar la actividad de este tema tienes que:

    1. Realizar un volcado de la memoria RAM de tu ordenador realizando las menores


    modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar
    el volcado, asegúrate de abrir al menos un navegador web y acceder a varias páginas.

    2. Realizar un hash al volcado de la memoria RAM que has realizado.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    3. Obtener mediante Volatility (u otro software) los siguientes datos:

    a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo).
    b. Software utilizado para realizar la adquisición de la memoria RAM.
    c. Historial de comandos ejecutados en la consola (CMD en Windows).
    d. Listado de navegadores web en ejecución.
    e. Listado de conexiones abiertas por dichos navegadores.
    f. Historial de navegación de los navegadores web en ejecución.
    4. Documentar todo el proceso de volcado, hash y obtención de la información
    solicitada y entregarlo como resultado de la actividad. No hay que entregar el
    volcado de la memoria RAM generado.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    ANÁLISIS DE UN VOLCADO DE MEMORIA


    Escenario:
    Para esta práctica utilizaremos una máquina virtual con Windows 10, las herramientas
    forenses a utilizar son: FTK Imager, phyton y hashmyfiles y volatility
    Instalamos FTK Imager en la máquina a realizar el volcado, así también hashmyfiles.

    1. A través de la herramienta FTK Imager, realizamos un volcado de la memoria


    RAM

    Seleccionamos la carpeta de destino y el nombre del archivo a generar.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    2. Realizamos un hash al volcado de la memoria RAM a través de la herramienta


    hashmyfiles.

    Seleccionamos el archivo a generar el hash y lo guardamos

    3. Analizamos el volcado a través de la herramienta volatility


    a. Formato del volcado; para lo cual utilizamos el plugin imageinfo.

    b. Software utilizado para realizar la adquisición de la memoria RAM.


    Utilizamos el plugin pslist

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    Como podemos observar el software utilizado es FTK iamager

    c. Historial de comandos ejecutados en la consola (CMD en Windows).


    Utilizamos el comando cmdscan

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    d. Listado de navegadores web en ejecución.


    Utilizamos el plugin pslist

    e. Listado de conexiones abiertas por dichos navegadores.


    Se utiliza el comando connscan, sin embargo este comando solo esta
    habilitado para Windows xp y Windows server

    f. Historial de navegación de los navegadores web en ejecución.


    Volatility standalone no posee el comando chromehistory y su instalación
    sale de este manual en Windows.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    Sobre la Fundación Volatily

    En 2007, la primera versión de The Volatility Framework se lanzó


    públicamente en Black Hat DC. El software se basó en años de
    investigación académica publicada sobre análisis avanzado de memoria y
    análisis forense. Hasta ese momento, las investigaciones digitales se
    habían centrado principalmente en encontrar contrabando en las
    imágenes del disco duro. La volatilidad introdujo a las personas en el
    poder de analizar el estado de ejecución de un sistema utilizando los
    datos que se encuentran en el almacenamiento volátil (RAM). También
    proporcionó una plataforma multiplataforma, modular y extensible para
    alentar el trabajo adicional en esta área de investigación
    apasionante. Otro objetivo importante del proyecto era fomentar la
    colaboración, la innovación y la accesibilidad al conocimiento que
    había sido común dentro de las comunidades de software ofensivo.

    Desde entonces, el análisis de la memoria se ha convertido en uno de


    los temas más importantes para el futuro de las investigaciones
    digitales y Volatility se ha convertido en la plataforma forense de
    memoria más utilizada del mundo. El proyecto cuenta con el respaldo de
    una de las comunidades más grandes y activas de la industria forense.
    La volatilidad también proporciona una plataforma única que permite
    que la investigación de vanguardia pase de inmediato a manos de
    investigadores digitales. Como resultado, la investigación construida
    sobre la volatilidad ha aparecido en las conferencias académicas más
    importantes y la volatilidad se ha utilizado en algunas de las
    investigaciones más críticas de la última década. Se ha convertido en
    una herramienta de investigación digital indispensable en la que
    confían investigadores policiales, militares, académicos y comerciales
    de todo el mundo.

    Al aire libre

    El desarrollo de la volatilidad ahora es apoyado por The Volatility


    Foundation, una organización independiente sin fines de lucro 501 (c)
    (3). La fundación se estableció para promover el uso del análisis de
    volatilidad y memoria dentro de la comunidad forense, para defender la
    propiedad intelectual del proyecto (marcas registradas, licencias,
    etc.) y la longevidad, y, finalmente, para ayudar a avanzar en la
    investigación innovadora de análisis de memoria. En este sentido, la
    fundación también se formó para ayudar a proteger los derechos de los
    desarrolladores que sacrifican su tiempo y recursos para hacer que la
    plataforma forense de memoria más avanzada del mundo sea gratuita y de
    código abierto.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Análisis forense 12 de febrero de 2017
    Nombre:

    FTK es una plataforma de investigaciones digitales aprobada por tribunales, que esta diseñada
    para ser veloz, analítica y contar con escalabilidad de clase empresarial. Conocido por su
    interfaz intuitiva, el análisis de correo electrónico, las vistas personalizadas de datos y su
    estabilidad, FTK establece el marco para una expansión sin problemas, por lo que su solución
    de informática forense puede crecer de acuerdo a las necesidades de su organización.

    Adicionalmente, AccessData ofrece nuevos módulos de expansión, entregando el primer


    software de esta industria con capacidad de análisis y con visualización de última generación.
    Estos módulos se integran con FTK para crear la plataforma de informática forense más
    completa en el mercado.

    Cerberus
    Cerberus es una tecnología de clasificación de malware que está disponible como accesorio
    para FTK 4. El primer paso hacia la ingeniería inversa automatizada. Cerberus califica las
    amenazas y hace un análisis de desmontaje para determinar tanto el comportamiento como la
    intención de binarios sospechosos.

    Visualización
    Vista de datos en varios formatos, incluyendo líneas de tiempo, gráficos de clúster, gráficos
    circulares y más. Determine rápidamente las relaciones en los datos, encuentre piezas claves
    de información y genere informes que son fácilmente entendidos por los abogados, los
    Oficiales de Información (CIOs) u otros investigadores.
    [ CITATION Lyd19 \l 2058 ]

    TEMA 3 – Actividades

    También podría gustarte

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy