Scribd
Upload
13 views16 pages

T5 Practica 1 Volatility

Ejercicios acerca la volatilidad de Windows

Uploaded by

mitargamer9
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
13 views16 pages

T5 Practica 1 Volatility

Ejercicios acerca la volatilidad de Windows

Uploaded by

mitargamer9
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
You are on page 1/ 16

Análisis Forense Informático

Volatility

Miguel Ángel Gómez Ortiz de Landazuri


PRÁCTICA 1: La volatilidad en Windows

Como bien sabemos, hay dos tipos de análisis forense: en vivo y post mortem. El primero
ocurre cuando el sistema todavía está activo durante el análisis. En este escenario, es posible
adquirir datos volátiles, como RAM, procesos en ejecución, conexiones a Internet y archivos
temporales. Si se utiliza el cifrado de disco, con este análisis, el sistema de archivos se puede
descifrar con la clave en caché. Por otro lado, este tipo de análisis requiere más experiencia y
el sistema modifica constantemente sus datos, lo que puede perjudicar la admisibilidad
judicial.

El analista tampoco debe confiar en ninguna herramienta proporcionada en el sistema, dado


que puede haberse manipulado deliberadamente.

APARTADO A)

Objetivo:

● Elaborar una herramienta forense, compuesta por comandos ejecutables


de extracción de evidencias y un fichero de procesamiento por lotes para
lanzar los anteriores, desde donde obtener las evidencias más
interesantes que se estudiaron en clase.

Materiales

● Sysinternals suite

● Nirsoft

● ntsecurity.nu

● Comandos de microsoft

● Otro software que tu consideres oportuno

La idea es confeccionar un USB-STICK donde estén almacenadas las herramientas y un


fichero de procesamiento por lotes. El fichero BATCH se lanzará en la máquina que se
pretenda peritar. Este BAT realizará funciones como copiar registros a la unidad USB externa
y recopilar información como fecha, hora, usuarios registrados, árbol de procesos, tiempo de
actividad del sistema, etc.

1
Las capturas siguientes corresponden al script o fichero de procesamiento por lotes.

2
3
4
En la carpeta Herramientas tenemos todos los ejecutables de los que haremos uso y haremos
referencia en el script.

En la carpeta Logs se guardarán los ficheros de salida de la ejecución de los programas.

5
Lanzamos el script.

6
7
8
Tras la ejecución, comprobamos la salida y vemos que se nos ha generado un fichero por cada
comando que hemos ejecutado.

9
APARTADO B)

Nos han proporcionado una captura de RAM a la que tenemos que realizar un análisis forense
completo.

Objetivos principales de la práctica:

● Analizar memoria RAM

● Instalar y aprender a utilizar la herramienta VOLATILITY

Detalla (comando empleado y captura de pantalla de la salida del mismo) el proceso para
obtener esta información.

Se nos pide obtener información de:

● Perfil del sistema operativo

10
Usamos la opción imageinfo.

● Listado de procesos

Usamos la opción pslist

● Historial de comandos

Usamos la opción cmdline.

11
● Información detallada del sistema operativo

Usamos la opción kdbgscan.

12
● Ficheros cargados en memoria

Usamos la opción filescan.

13
● Conexiones activas

Usamos la opción netscan.

14
15

You might also like