Trabajo: Anlisis de un volcado de memoria RAM de un equipo En esta actividad tendremos que realizar el anlisis de un volcado de memoria RAM de nuestro equipo. Para realizar un anlisis exhaustivo de un volcado de memoria RAM es necesario hacer uso de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten realizar multitud de acciones sobre el volcado obtenido. Aunque tambin es posible un anlisis ms sencillo realizando bsquedas de cadenas de texto y recuperacin de archivos sobre el propio volcado. Antes de comenzar la actividad, es recomendable la lectura del manual publicado en Google Code, el cual est disponible en: https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594
Tambin es recomendable la visualizacin del siguiente vdeo:
https://www.youtube.com/watch?v=6dTEtPb5eAo Actividades en concreto: 1. Realizar un volcado de la memoria RAM de su computador realizando las menores modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar el volcado, asegrate de abrir al menos un navegador web y acceder a varias pginas. 2. Realizar un hash al volcado de la memoria RAM que has realizado.
Asignatura
Datos de alumnos
Fecha
Integrantes Cmputo Forense
3. Obtener mediante Volatility los siguientes datos:
a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo). b. Software utilizado para realizar la adquisicin de la memoria RAM. c. Historial de comandos ejecutados en la consola (CMD en Windows). d. Listado de navegadores web en ejecucin. e. Listado de conexiones abiertas por dichos navegadores. f. Historial de navegacin de los navegadores web en ejecucin. 4. Documentar todo el proceso de volcado, hash y obtencin de la informacin solicitada y entregarlo como resultado de la actividad. En el documento a entregar por cada grupo se debe relacionar los pasos realizados (pegar pantallazos) y la dems informacin solicitada.