You are here: Home » Blog » Adquisición de Memoria en Windows con Memoryze

Adquisición de Memoria en Windows con Memoryze

Memoryze es una herramienta gratuita  desarrollada por Mandiant para la adquisición y análisis de malware en memoria RAM sobre los siguientes sistemas operativos:

  • Windows 2000 Service Pack 4 (32-bit)
  • Windows XP Service Pack 2 and Service Pack 3 (32-bit)
  • Windows Vista Service Pack 1 and Service Pack 2 (32-bit)
  • *Windows Vista Service Pack 2 (64-bit)
  • Windows 2003 Service Pack 2 (32-bit and 64-bit)
  • Windows 7 Service Pack 0 (32-bit and 64-bit)
  • *Windows 2008 Service Pack 1 and Service Pack 2 (32-bit)
  • Windows 2008 R2 Service Pack 0 (64-bit)
  • *Windows 8 Service Pack 0 (32-bit and 64-bit)
  • *Windows Server 2012 Service Pack 0 (64-bit)

Descargar Memoryze desde el sitio de Mandiant

https://www.mandiant.com/library/MemoryzeSetup3.0.msi

Instalar Memorize dentro de la memoria USB o Disco Extraíble:

Abrir un PowerShell y ejecutar

msiexec.exe /i “Ruta_Instalador” /qb TARGETDIR=”Ruta_Destino”

Ejemplo:

msiexec.exe /i “Z:\Forensics\MemoryzeSetup3.0.msi” /qb TARGETDIR=”Z:\Forensics”

En la máquina a analizar se ejecuta:

Z:\Forensics\MemoryDD.bat -output Samples

Se realiza la llamada al archivo MemoryDD que realizará el volcado de la RAM a la carpeta  que se especifique con el parámetro -output

Memoryze running

El Resultado se almacenará dentro de la carpeta Audits y debe lucir como esto:

Memoryze audit

Eso es todo, no olviden una vez se genere el archivo, sacar los HASH de integridad correspondientes.

Recursos:

  1. Sitio Oficial https://www.mandiant.com/resources/download/memoryze
  2. Manual de Usuario http://www.mandiant.com/library/MemoryzeUserGuide.pdf

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net