Análisis de memoria RAM con volatility

Introducción

Uno de los retos a los que se enfrenta un analista forense digital (perito informático) sin duda alguna es la obtención de las evidencias en caliente o de dispositivos de almacenamiento volátil como lo es la memoria RAM, ya que este dispositivo almacena información de manera temporal pero una vez que se apaga el equipo de cómputo la información desaparece. Por ello la importancia de la obtención de un volcado de memoria RAM que nos dé información de los procesos, archivos y URLS que en un momento del tiempo estuvieron en ejecución en una computadora en específico, con esto podremos hacer una análisis posterior a la obtención que sin duda nos dará muchos elementos que ayudan a determinar el modus operandi, los métodos y los medios utilizados para cometer un ciberdelito.

En esta actividad veremos paso a paso la desde la obtención de un volcado de memoria RAM, hasta el análisis de la misma, con la finalidad de mostrar las herramientas que se deben utilizar para dichos procesos siguiendo los pasos de la cadena de custodia para preservar las evidencias digitales.

Generalidades del equipo de cómputo del cual se obtuvo el volcado.

El equipo de donde se obtendrán las evidencias para esta práctica es una computadora de escritorio ensamblada sin número de serie, color del gabinete blanco, en forma de torre vertical, con un procesador de la marca Intel Modelo Core i5-3330 a 3.0GHz, con 4 núcleos, 12GB de memoria RAM y 3 discos duros conectados, de los cuales solo dos están activos; uno de ellos de 500GB que contiene dos instalaciones de sistemas operativos, Windows 7 Home Premium SP1 y Linux en su distribución Ubuntu,  el otro disco es de 1TB con dos particiones en las cuales se almacena Software y Documentación de respaldo, monitor Negro de la marca HP con número de Serie 6CM34310B2, teclado marca Microsoft modelo Ergonómico y número de serie 7687604358326, mouse marca perfect choice modelo PC-200604. Se encuentran conectados algunos accesorios adicionales como un kit de bocinas de la marca Acteck con 5 altavoces, un boofer y un ecualizador, una impresora marca HP modelo deskjet 6840 y número de serie ilegible, un scanner canon modelo ScanLide 25 con número de serie KBPA79018.

Se anexan imágenes que corroboran la descripción del equipo.[pic 1]

Realizando el volcado de memoria RAM.

Para realizar el volcado de memoria RAM se utilizó la herramienta FTK Imager, lo que nos genera un archivo con el nombre que elijamos y la extensión .mem, la cual una vez almacenada procedemos a obtener el HASH MD5 para preservar dicha evidencia.

Para obtener la clave HASH MD5 se utiliza la herramienta fciv.exe como se muestra en la siguiente imagen. Una vez que tenemos la clave HASH podemos mover a otro lugar la imagen con la finalidad de ser analizada y siempre se tomara como referencia de integridad de la misma la clave HASH obtenida y comparada con la original.

[pic 2]

Imagen 6. Obtención del HASH MD5 de la imagen del volcado de memoria.

Obtener mediante Volatility (u otro software) los siguientes datos:

Acerca de volatility. Es un framework pensado para extraer de las memoria ram o de discos duros la información volátil que de una u otra manera está cargada en la memoria RAM y que posteriormente se puede analizar a detalle todo el contenido de esa imagen e incluso recuperar algunos archivos que se hayan ejecutado en algún momento del tiempo que permaneció encendida la computadora.

Formato del volcado (En Volatility hacemos uso del plugin imageinfo).

Antes de iniciar el análisis de un volcado de memoria debemos primero verificar que la imagen que vamos a analizar es una copia fiel de la original, por lo que procedemos a obtener si clave HASH MD5 con la herramienta fciv.exe para compararla con la original.

[pic 3]

Imagen 7. Verificación de clave HASH MD5

Una vez verificada la autenticidad de la imagen procedemos a extraer los generales de la imagen que contiene el volcado de la memoria RAM, para ello nos apoyaremos de la herramienta volatility para obtener la información del formato profile de que se trata, mediante el uso del comando imageinfo.

...