You are here: Home » Blog » Adquisición de Memoria RAM en Windows con WinPMEM

Adquisición de Memoria RAM en Windows con WinPMEM

En esta serie de artículos veremos una serie de herramientas para la adquisición de memoria RAM para propósitos de análisis forense o análisis de Malware.

La primera  herramienta que veremos será WinPMEM la cual es una herramienta de Código Abierto escrita en Python que forma parte de un Framework llamado Recall, el cual soporta los siguientes Sistemas Operativos:

  • Microsoft Windows XP Service Pack 2 y 3
  • Microsoft Windows 7 Service Pack 0 y 1
  • Microsoft Windows 8 y 8.1
  • Linux Kernels 2.6.24 a 3.10.
  • OSX 10.6-10.9.

En este escenario se trabajará sobre una máquina con sistema operativo Windows y se supondrá que tenemos acceso con una cuenta que tiene privilegios sobre el sistema.

Preparación

La primera recomendación es haber descargado previamente WinPMEM y tenerla en un medio extraíble, por ejemplo una USB.

Descargamos WinPMEM desde: http://www.rekall-forensic.com/downloads.html

winpmem

Lo guardamos en una USB que preferiblemente esté formateada en NTFS.

Escenario

Nos encontramos en un servidor con sistema operativo Windows, el cual tiene la sesión abierta o uno de los testigos posee las credenciales de acceso e ingresa al sistema.

Procedimiento

Conectamos la USB al servidor o computador, abrimos un PowerShell e ingresamos a la ruta donde almacenamos WinPMEM dentro de la USB o Disco Extraíble.

winpmem USB

Ejecutamos WinPMEM para iniciar el proceso de adquisición de la memoria RAM, como parámetro pasamos la salida, en este caso la llamaremos sample01.raw

.\winpmem_1.6.0.exe sample01.raw 

 

Adquisición de RAM con wimpmem

Eso es todo, una vez finalizado el proceso se recomienda generar un HASH del volcado de memoria para validar posteriormente la integridad de la evidencia.

Para ello se pueden utilizar herramientas como Quick Hash http://sourceforge.net/projects/quickhash/ o scripts de Power Shell

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net

3 Comments

  1. impresionante!!! muchas gracias!!!

Comments are closed.