Dump de la RAM

Mi Arsenal de Software: Dump de la RAM

El dump de la RAM es un proceso fundamental que el Perito Informático debe dominar a la perfección, tiene que poder ejecutar correctamente cada vez que lo precise y es un requisito de la profesión. Durante una adquisición en vivo de evidencia digital suele ser la primera actividad que realiza el perito en la escena del hecho.

Antes de ponerse a hacer un clonado forense de los discos, si el dispositivo está encendido, el perito debe hacer un volcado de la RAM pues en un análisis posterior aquí podremos encontrar datos clave como las contraseñas de los volúmenes cifrados (TrueCrypt, BitLocker, PGP Disk), las credenciales para los servicios de webmail y redes sociales como Gmail, Yahoo Mail, Hotmail; Facebook, Twitter, Google Plus y los servicios de intercambio de archivos como Dropbox, Flickr, SkyDrive, etc.

FTK Imager

Herramienta gratuita de la empresa AccessData, que puede ser descargada desde aquí . Actualmente es una de las más populares sobre todo porque hacer capturas de memoria RAM es solo una de sus capacidades, a diferencia del
resto de aplicaciones descrita más abajo, que están exclusivamente dedicadas a esta tarea.

De todas las que trabajan con Windows es la que tiene el tiempo de adquisición más rápido, superando levemente a la de Belkasoft. Tiene la opción de ejecutarse desde un live USB para el trabajo de campo.

MAGNET RAM Capture

Esta herramienta gratuita de MAGNET permite realizar imágenes de la memoria física de un dispositivo, por ejemplo de una notebook encontrada encendida en la escena de un hecho posiblemente criminal. La aplicación, al ser ejecutada, deja mínimos trazos de su presencia en la memoria que se está dumpeando. El volcado de la memoria puede guardarse en formato .DMP/.RAW/.BIN para luego ser analizados con otras herramientas de análisis forense de memorias.

Corre bajo los siguientes sistemas operativos: Windows XP, Vista, 7, 8, 10, 2003, 2008, 2012 (32 y 64 bit). La última versión 1.20 es del 24 de julio del 2019 y puede obtenerse completando este formulario.

DumpIt

Esta herramienta se utiliza para generar un volcado de memoria física de máquinas Windows. Funciona con máquinas x86 (32 bits) y x64 (64 bits).

El volcado de memoria sin procesar se genera en el directorio actual, solo se hace una pregunta de confirmación antes de comenzar. Ligero y perfecto para implementar el ejecutable en un USB para necesidades de respuesta rápida a incidentes o en adquisiciones en vivo. Esta herramienta no cuenta con una interfaz gráfica (GUI) pero tiene muchísimas opciones desde su línea de comandos.

Una vez realizado el volcado de la RAM obtendremos como resultado un archivo .dmp o .raw con los datos que tenía la memoria al momento de ejecutar el dump. El .dmp es un formato propio de esta herramienta y es el que viene seteado por defecto. Estos dumps ocupan memos espacio físico que los .raw. De todas las que trabajan con Windows es la que tiene el tiempo de adquisición más lento.

Cuando tuve que hacer un volcado de memoria por primera vez hace algunos años atrás esta fue la herramienta que utilicé. Lamentablemente nunca más fue actualizada y la versión que está colgada del github es de hace 10 años atrás. Hay otras aplicaciones más modernas y actualizadas, pero DumpIt me dio muy buenos resultados en su momento y por eso la incluyo en este artículo.

Belkasoft Live RAM Capture

Belkasoft Live RAM Capture es la aplicación gratuita de Belkasoft y puede obtenerse desde este link de descarga,
solo necesitaremos completar un pequeño formulario de solicitud. Es compatible con todas las versiones y ediciones de Windows, XP, Vista, Windows 7, 8 y 10, 2003 y 2008 Server incluidos. Con drivers para trabajar tanto en 32 bit como en 64 bit le permite a la herramienta trabajar en modo kernel.

Esta herramienta permite extraer de manera segura el contenido completo de la memoria volátil de una computadora, incluso si está protegido por un sistema anti-depuración o anti-dumping activo. En general otras herramientas de dumping de memoria trabajan en modo usuario del sistema y no pueden pasar las protecciones del sistema que borran la memoria o producen un bloqueo a nivel del kernel imposibilitando cualquier otro intento de dumpear la RAM. La aplicación de Belkasoft opera en modo kernel, el mismo nivel que estas protecciones del sistema lo que le permite adquirir correctamente espacios de direcciones de aplicaciones protegidas con los más sofisticados sistemas como nProtect GameGuard.

La aplicación no requiere instalación y puede ser ejecutada desde un live USB dejando una huella mínima en el sistema objetivo del dump. Esta es una característica que todas las herramientas se atribuyen pero en la que Belkasoft les saca clara ventaja a todas las restantes.

Estas aplicaciones cargan DLLs necesarias para realizar el trabajo, pero a mayor cantidad de estas DLLs hay más posibilidades de resultados inesperados o sobreescrituras. Acá también Belkasoft saca ventaja por sobre todo el resto mostrando la menor cantidad de carga de DLLs. Una tercer categoría de comparación para ver la huella que deja una herramienta es la cantidad de registros y keys del registro de Windows modifica. Nuevamente la aplicación saca ventaja del resto con una diferencia muy importante.

Cada perito debe probar las herramientas, yo ya lo hice y esta es mi aplicación de cabecera para el volcado de una RAM. Solo es superada en tiempo de adquisición por FTK Imager, pero aún en este rubro la diferencia es mínima y no se aprecia en la vida real.

Lime

LiME v1.9.1 es Linux Memory Extractor es un módulo de kernel cargable (LKM) que permite la adquisición de memoria volátil desde Linux y dispositivos basados ​​en Linux, como Android. Esto hace que LiME sea único, ya que es la primera herramienta que permite capturas de memoria completa en dispositivos Android.

Minimiza la interacción entre el usuario y los procesos de espacio del kernel durante la adquisición, lo que le permite producir capturas de memoria que son más sólidas desde el punto de vista forense que las de otras herramientas diseñadas para la adquisición de memoria de Linux.

Entre sus principales características tenemos la adquisición de memoria completa de Android, recuperación a través de la interfaz de red, mímina huella de proceso, hash de la memoria volcada y la posibilidad de compresión de datos sin que esto vea afectado el volcado mismo y el hash obtenido.

Aunque a lo largo de toda la historia del proyecto, LiME siempre venía siendo actualizado en períodos que iban de los 6 a los 12 meses, la última versión ya data de agosto 2020 casi un año y medio al momento de escribir este artículo.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.