VOLATILIDAD EN MEMORIAS AMBIENTES PRODUCTIVOS
Enviado por Chapox Chapox • 8 de Mayo de 2022 • Ensayos • 527 Palabras (3 Páginas) • 36 Visitas
LA VOLATIDAD EN LAS MEMORIA DE LOS EQUIPOS INFORMATICOS PRODUCTIVOS
Hoy en día, ante cualquier incidente relacionado con la seguridad informática, las técnicas de análisis forense se suelen utilizar más o menos para recopilar pruebas de las acciones realizadas por los atacantes, recuperar indicadores de compromiso para contener y detener las amenazas, o ambas cosas.
La memoria RAM es uno de los lugares donde podemos encontrar más artefactos que son útiles durante la respuesta a un incidente o análisis posterior. Podemos encontrar procesos en ejecución y sus estructuras de datos que nos brindan muchos detalles valiosos: puertos de comunicación abiertos en el sistema, claves de cifrado escritas en la memoria durante la ejecución de los programas que los utilizan, etc. Ya sean programas legítimos o maliciosos, pasan por la memoria durante su ejecución.
El propósito de este artículo es
¿Qué es la volatilidad?
La primera versión de Volatility se lanzó públicamente en BlackHat DC en 2007. El software se basa en años de investigación académica publicada sobre análisis forense y memoria avanzada. Volatility brinda a los investigadores nuevas herramientas para examinar el almacenamiento volátil (RAM) de las computadoras cuando el enfoque de las investigaciones de incidentes forenses es analizar los datos obtenidos de los discos duros. La memoria RAM es uno de los lugares donde podemos encontrar más artefactos que son útiles durante la respuesta a un incidente o análisis posterior
Escrito en Python, se considera un marco extensible para ayudar a los investigadores en el análisis de la memoria y ha sido un punto de referencia en el campo durante muchos años. Hoy en día, el desarrollo de Volatility está regido por una fundación independiente sin fines de lucro llamada The Volatility Foundation, cuyo objetivo es promover su uso en la comunidad forense y mantenerlo gratuito y de código abierto.
Cómo usar la volatilidad La volatilidad se aplica a una variedad de entornos: Windows, Linux y MacOS. Una vez instalada, para empezar a utilizar esta herramienta, lo primero que necesitamos es una imagen de memoria RAM de un dispositivo compatible. No cubriremos esta parte en este artículo, pero existen diferentes herramientas de código abierto que pueden ayudarnos con esta tarea.
Una vez que tenemos el archivo con la imagen de la memoria RAM, tenemos que obtener lo que Volatility llama un "perfil de imagen de memoria". Este archivo de configuración ayuda a la herramienta a comprender la ubicación en la memoria de las estructuras de datos de las que extraeremos información más adelante. La opción "imageinfo" nos ayudará a identificar el archivo de configuración de la imagen de memoria (ver Figura 1).
En este caso, la aplicación sugiere varios perfiles posibles: Win2003SP0x86, Win2003SP1x86, etc. Una vez que hayamos identificado el archivo de configuración que usaremos para nuestro análisis, podemos comenzar a extraer la información. Ejecutando "vol.py" con la opción "--info" nos mostrará todas las posibilidades de la herramienta. Para analistas más avanzados, opcionalmente mediante la opción «volshell», podemos interactuar directamente con el espacio de memoria contenido en el archivo. La primera opción que se suele utilizar es «pslist», que utilizamos para obtener una lista de los procesos que se estaban ejecutando cuando se capturó la imagen de memoria (ver Figura 2). RAM.
...