Practica1.3 Captura RAM
INDICE
1.- REALIZAR CAPTURA DE RAM EN MAQUINA WIN 7 PAG 2-4
2.- VOLATILITY PAG 5-10
3.- CONCLUSION PAG 11
4.- BIBLIOGRAFIA PAG 11
1.- REALIZAR CAPTURA DE RAM EN MAQUINA WIN 7
Lo primero que haremos será descargarnos el software necesario para la captura de ram en el siguiente enlace:
https://www.magnetforensics.com/resources/magnet-ram-capture/
Tendremos que registrarnos para que nos envíen el enlace de descarga , solo el enlace debe ser verdadero y que tengas acceso a él.
Lo siguiente que haremos será pasar el .exe a la maquina vulnerable WIN7 vulnerable para hace la captura de RAM
*** NOTA : Esta practica no es recomendada puesto que al ejecutar el capturador en la misma maquina en vez un medio externo estamos contaminando la muestra.Por lo que esto lo haremos de manera excepcional puesto que los drivers USB del WIN7 no son compatibles con los USB que dispongo ***
Una vez ejecutado elegimos donde vamos a guardar el archivo , yo lo voy a guardar en la misma maquina pero lo apropiado seria guardarlo en un medio externo como un usb.
Acordarse de ejecutar varios programas antes de hacer la captura para que la captura tenga cosas interesantes(calculadora , Paint , ftp …)
Y lo ejecutamos
Una vez tengamos la captura la movemos a la maquina Anfitriona:
Con esto ya tendríamos terminada nuestra Captura de Ram.
2.- VOLATILITY
Lo segundo que haremos será instalar Volatility en nuestro equipo para trabajar con la captura de RAM. Utilizaremos el siguiente enlace:
https://www.volatilityfoundation.org/releases
En nuestro caso será el primer enlace Volatility 2.6 para Windows.
Tras descargarlo lo descomprimimos y lo ponemos en la ruta que queramos:
Ahora vamos a empezar a trabajar con la captura.
Lo primera será abrir un cmd y situarnos en el directorio donde este el programa. Una vez hecho esto ejecutaremos el primer comando:
Volatility_2_6_win64_standalone.exe imageinfo –f Captura.raw
Como podemos ver el volatility nos esta sugiriendo los distintos perfiles a los que pertenece nuestra captura. Como ya sabemos que nuestro Windows es un Windows 7 x32 SP1 eligiremos el perfil Win7SP1x86.
Kdbgscan
El primero comando interesante que veremos será el relacionado con Kdbgscan ya que nos ofrece un perfil exacto de la imagen analizada asi como el identificador exacto de kgbd:
Volatility_2_6_win64_standalone.exe -f Captura.raw --profile=WinXPSP2x86 kdbgscan
Kpcrscan
El siguiente comando se utilizara para ver los detalles de cada procesador , incluidas las direcciones IDT y GDT; hilos actuales, inactivos y siguientes, número de CPUs, proveedor y velocidad; y valor CR3.
Volatility_2_6_win64_standalone.exe -f Captura.raw --profile=WinXPSP2x86 kpcrscan
IDENTIFICACION DE PROCESOS
Pslist
Este comando nos mostrara los diferentes procesos que estaban corriendo en el momento de la captura , con datos como el ID del proceso etc..
Si queremos cambiar la forma de ver los procesos podemos hacerlo con el comando pstree:
Psscan
El siguiente escaneo sirve para ver procesos ocultos o desvinculados con un rootkig
Dlllist
El siguiente comando sirve para ver las librerías que estaba utilizando la captura en ese momento , el tamaño que ocupan …
Cmdscan
Este comando permite ver el código que utilizo el atacante
3.- CONCLUSION
En esta practica he aprendido a hacer una captura de ram cosa que nunca había hecho , por lo que ya solo por eso ha sido interesante. Ademas el tema de poder analizarla y ver que procesos se estaban ejecutando , que código utilizo el atacante etc me ha gustado bastante y me servirá incluso para mi trabajo diario.
4.- BIBLIOGRAFIA
https://www.magnetforensics.com/resources/magnet-ram-capture/
https://www.volatilityfoundation.org/releases
https://byte-mind.net/analisis-forense-con-volatility/#Imageinfo
https://webdiis.unizar.es/~ricardo/sbc-2021/laboratorios/lab1_introduccion.pdf
Last updated