|
Título: como puedo crear una imagen de la memoria ram para análisis forense? Publicado por: colcrt en 5 Enero 2022, 20:21 pm hola, estoy leyendo sobre el tema y me encontre con que el ftk imager genera un .mem pero es muy pesado y al momento de analizar con volatility tarda demasiado.
existe alguna herramienta que me permita obtener una umagen de la memoria ram mas liviana? Título: Re: como puedo crear una imagen de la memoria ram para análisis forense? Publicado por: EdePC en 6 Enero 2022, 03:52 am La imagen siempre será igual a la cantidad de Ram o incluso más si se incluyen los archivos de memoria virtual como el archivo de paginación y swap.
Dicho esto no tiene sentido sacar una imagen más pequeña porque no estaría completa. Si lo que quieres es hacer una "imagen" de la memoria que usa un determinado programa pues basta con abrir el Administrador de Tareas, en el apartado Detalles se muestran los procesos, ahí elijes el proceso del que quieras sacar la "imagen" de la Memoria que está usando y le das click derecho > Crear archivo de volcado, otra alternativa para hacer esto de una forma más automática es Magnet Process Capture. https://www.magnetforensics.com/blog/magnet-process-capture/ (https://www.magnetforensics.com/wp-content/uploads/2018/06/PC-3.jpg) Descarga directa: https://storage.googleapis.com/mfi-files/free_tools/MagnetProcessCapture/MagnetProcessCaptureV13.zip Título: Re: como puedo crear una imagen de la memoria ram para análisis forense? Publicado por: colcrt en 6 Enero 2022, 17:01 pm Hola @EdePC primeramente agradecerle por su amable colaboración;
ahora y viendo lo que me comenta me surge la duda, ¿existe algún método para comprimir la imagen de la memora ram que ya tengo? (archivo.mem obtenido con ftk imager) esto con el fin de facilitar el analisis Título: Re: como puedo crear una imagen de la memoria ram para análisis forense? Publicado por: EdePC en 6 Enero 2022, 18:46 pm Justamente se usan formatos RAW sin compresión para facilitar su análisis ya que si se usa un formato de compresión se tiene que descomprimir primero para analizarlo, y si se usan formatos de compresión o protección propietarios se tiene el problema de la compatibilidad.
Si tu intensión es comprimirlo para que sea más sencillo transportarlo, bien puedes comprimirlo en Zip, Rar o 7z, pero al final se tiene que descomprimir para analizarlo. Otra forma es didivirlo en partes, muchos programas permiten hacer la captura de la Ram en partes de por ejemplo 700MB para guardarlos en CD o 4.7GB para DVD, etc. Sino hacerlo con los propios compresores como WinRar o 7zip Si tu intensión es capturar solo partes de la Ram para obtener imágenes más pequeñas pues depende de como clasifiques esas partes, ya mencioné arriba que se puede hacer por Procesos. Título: Re: como puedo crear una imagen de la memoria ram para análisis forense? Publicado por: el-brujo en 10 Enero 2022, 23:18 pm Webinar Gratuito: Analizar una Imagen RAM con Bulk Extractor
Diapositivas https://www.reydes.com/archivos/slides/webinars/AC_WG_Analizar_Imagen_RAM_Bulk_Extractor.pdf OEDicsH4onI |