El análisis RAM es una de las principales habilidades que debe dominar un Perito Informático Forense. La memoria volátil está viva constantemente, mientras esté trabajando siempre va a tener entradas y salidas de información, es por esto que solo puede ser investigada utilizando una imagen de la misma. Esta investigación se realiza sobre un dump de la RAM y tiene como finalidad obtener información vital sobre las actividades más recientes que se estuvieron realizando en el dispositivo desde el cual se extrajo.
En mi arsenal de software cuento principalmente con dos aplicaciones para realizar este trabajo. Ellas son Eureka y Volatility, las que repasamos a continuación para conocer sus capacidades principales.
Eureka
Eureka es una herramienta forense de código abierto que busca e identifica estructuras específicas en archivos muy grandes, principalmente en volcados de memoria. Esta aplicación facilita la localización de chats de Facebook, mensajes de correo, URLs, direcciones de email y lenguaje natural humano, todo lo cual es susceptible de ser encontrado en el dump objetivo.
Cuenta con dos diccionarios, uno inglés y otro español para el matcheo de palabras en esos idiomas. Es muy sencillo de ejecutar ya que no cuenta más que con unas pocas opciones para tirar por la línea de comandos.
Parameter | Explanation |
-h, –help | Shows this help message and exit |
-f File_Name | File to analyze. |
–je | JSON Emails Search. (Raw output) |
–mails | Mail Addresses search. |
–urls | URLs search. |
–fb | Facebook chats search. |
–lang eng <or esp> | Identify human language in a given file. ‘esp’ for spanish or ‘eng’ for english language identification. |
Example: python eureka.py -f pagefile.sys –lan eng |
Con la siguiente orden se correrá una búsqueda completa: python eureka.py -f fileName.ext –fb –je –mails –urls –lang eng
Volatility
Volatility es un framework de código abierto enfocado principalmente en el análisis forense de memoria. Se utiliza en respuesta a incidentes, análisis de malware e investigaciones criminales. Es una de las herramientas open source más completas y mejor mantenidas en el mundo de la informática forense. Lanzada por primera vez en el año 2.007, es mantenida por la Volatility Foundation. Actualmente se pueden encontrar dos versiones, la 2.6 y en el año 2.020 sale la última versión, la Volatility 3 que es una reescritura completa del framework.
Las técnicas de extracción se realizan de forma totalmente independiente de el sistema que está siendo investigado pero ofrece visibilidad en el estado de tiempo de ejecución del sistema. El framework pretende introducir a las personas en las técnicas y complejidades asociadas con la extracción de artefactos digitales a partir de muestras de memoria volátil y proporcionar una plataforma para seguir trabajando en esta apasionante área de investigación.
Un conjunto importantísimo y muy amplio de plugins brindan todas las funcionalidades que el framework es capaz de entregarnos para realizar un buen análisis RAM. Una lista completa de los plugins puede ser encontrada en este link del github del proyecto.
Volatility corre en Windows, Linux y Mac. Es necesario tener instalado Python para poder ejecutar el software ya que en este lenguaje es que está programado. La versión 2.6 utiliza Python 2 y Volatility 3 está escrito con Python 3.
Análisis RAM para recuperar contraseña
En esta clase del Curso Perito Perito Informático Forense utilizamos Volatility 2.6 para tratar de recuperar un password de un dump de memoria de una notebook.
En el Curso Perito Profesional Informático Forense puede formarse en esta y otras técnicas de la Informática Forense.