Mapeo de memoria (Bob.

vmem)
Introducion
En esta tarea analizaremos el mapeo de la memoria proporcionada, en este caso ser Bob.vmem,
esto con el fin de obtener la informacin requerida por el profesor.
Para esta prctica solo utilizaremos Bob.vmem y volatility-master.

Desarrollo
Identificacin de imagen
Aqu obtendremos informacin sobre la imagen Bob.vmem.

Tipo de sistema operativo

Para obtener el sistema operativo es con el siguiente comando, veremos que es un Windows NT
(new technology).

Lista de procesos
Aqu podemos ver la lista de procesos que estn corriendo.

Los procesos en rbol.

Con este comando podemos ver procesos terminados y procesos que fueron ocultos por un rootkit.

Vnculos y libreras de los procesos (dlls)

Lista de dlls cargados para cada proceso.

Con este comando mandamos los dlls a una carpeta.

Informacin de redes y comunicaciones (puertos y servicios abiertos, as como comunicaciones

establecidas)
Con esto vemos el historial de las consolas o terminales.

Aqu vemos la lista de conexiones abiertas.

Con este comando veremos los puertos abiertos.

Aqu hacemos un escaneo a conexiones tcp.

Aqu un escaneo a puertos tcp.

Anlisis de Malware y Rootkits

Con esta bsqueda encontramos cdigo oculto e inyectado.

Con svcscan hacemos un escaneo para servicios de Windows.

Con ldrmodules detectamos dlls desasociados.

Conclusin
Gracias al challenge 7 que fue realizado con anterioridad, fue ms rpido realizar y entender esta
prctica, es interesante lo que podemos lograr con volatility y toda la informacin que podemos
sacar con esto.
No se comprendi en su totalidad la parte de malware y rootkit, pero se estudiar ms sobre el
tema.