Autor
|
Tema: como puedo crear una imagen de la memoria ram para análisis forense? (Leído 8,405 veces)
|
colcrt
Desconectado
Mensajes: 86
|
hola, estoy leyendo sobre el tema y me encontre con que el ftk imager genera un .mem pero es muy pesado y al momento de analizar con volatility tarda demasiado.
existe alguna herramienta que me permita obtener una umagen de la memoria ram mas liviana?
|
|
|
En línea
|
|
|
|
EdePC
|
La imagen siempre será igual a la cantidad de Ram o incluso más si se incluyen los archivos de memoria virtual como el archivo de paginación y swap. Dicho esto no tiene sentido sacar una imagen más pequeña porque no estaría completa. Si lo que quieres es hacer una "imagen" de la memoria que usa un determinado programa pues basta con abrir el Administrador de Tareas, en el apartado Detalles se muestran los procesos, ahí elijes el proceso del que quieras sacar la "imagen" de la Memoria que está usando y le das click derecho > Crear archivo de volcado, otra alternativa para hacer esto de una forma más automática es Magnet Process Capture. https://www.magnetforensics.com/blog/magnet-process-capture/Descarga directa: https://storage.googleapis.com/mfi-files/free_tools/MagnetProcessCapture/MagnetProcessCaptureV13.zip
|
|
|
En línea
|
|
|
|
colcrt
Desconectado
Mensajes: 86
|
Hola @EdePC primeramente agradecerle por su amable colaboración; ahora y viendo lo que me comenta me surge la duda, ¿existe algún método para comprimir la imagen de la memora ram que ya tengo? (archivo.mem obtenido con ftk imager) esto con el fin de facilitar el analisis
|
|
|
En línea
|
|
|
|
EdePC
|
Justamente se usan formatos RAW sin compresión para facilitar su análisis ya que si se usa un formato de compresión se tiene que descomprimir primero para analizarlo, y si se usan formatos de compresión o protección propietarios se tiene el problema de la compatibilidad.
Si tu intensión es comprimirlo para que sea más sencillo transportarlo, bien puedes comprimirlo en Zip, Rar o 7z, pero al final se tiene que descomprimir para analizarlo. Otra forma es didivirlo en partes, muchos programas permiten hacer la captura de la Ram en partes de por ejemplo 700MB para guardarlos en CD o 4.7GB para DVD, etc. Sino hacerlo con los propios compresores como WinRar o 7zip
Si tu intensión es capturar solo partes de la Ram para obtener imágenes más pequeñas pues depende de como clasifiques esas partes, ya mencioné arriba que se puede hacer por Procesos.
|
|
|
En línea
|
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Una de analisis forense
Hacking
|
zoneh
|
1
|
3,890
|
14 Marzo 2020, 13:47 pm
por BDS
|
|
|
Obtener contraseñas de correo mediante Análisis Forense en Memoria RAM
« 1 2 »
Hacking
|
The_Mushrr00m
|
11
|
12,899
|
8 Febrero 2013, 02:35 am
por ddmmvv12
|
|
|
DiFT, un Ubuntu preparado para el análisis forense
Noticias
|
wolfbcn
|
0
|
1,510
|
11 Mayo 2014, 13:21 pm
por wolfbcn
|
|
|
como puedo crear un troyano y ocultarlo en una imagen?
Análisis y Diseño de Malware
|
javape793
|
2
|
3,750
|
4 Marzo 2017, 01:47 am
por engel lex
|
|
|
Cómo puedo crear una imagen de disco cifrado en debian o ubuntu?
GNU/Linux
|
WHK
|
7
|
4,489
|
5 Junio 2017, 15:32 pm
por Slava_TZD
|
|