ANÁLISIS DE MEMORIA FÍSICA
Todas las memorias físicas de los ordenadores se pueden obtener imágenes y analizarlas empleando una infinidades de herramientas. El procedimiento para acceder a la memoria física es distintas en cada sistema operativo, estas herramientas se especifican según el sistema operativo. Una vez que la memoria ha sido plasmada, es sometido a un análisis de memoria para comprobar el estado del sistema.
Uno de los problemas que uno puede llegar a tener al obtener imágenes de la memoria es verificar que la imagen se ha creado correctamente. Es decir, se debería verificar el contenido real de la memoria en el momento de su creación.
Hay que tener en cuenta que el contenido de la memoria está en constante cambio en un sistema en funcionamiento, así que el resultado nunca va a ser el mismo. Aunque realicemos varias adquisiciones, para que después comparemos verán que los resultados no son viables de validación.
TÉCNICAS DE ADQUISICIONES DE MEMORIAS
Posibles fallos en el volcado
Cuando está todo configurado para crear una adquisición de la memoria completa, los sistemas operativos como por ejemplo Windows guarda automáticamente una imagen de la memoria física (más conocida como la pantalla azul).
Referencia: Microsoft describe los pasos que debemos seguir en este link:
http://support.microsoft.com/kb/244139/en-us
Volcado con LiveVolPE
La herramienta de LiveVolPE se puede utilizar para crear una imagen de la memoria física en una máquina encendida. Una vez que se inicia VolPE, se utiliza el comando. " Vol f] "
Archivos de hibernación
Windows 98, 2000, XP, 2003 y Vista admite una característica llamada hibernación que guarda el estado de la máquina en el disco cuando el ordenador está “apagado”. Cuando el ordenador se enciende de nuevo, el estado va a ser restaurado y el usuario podrá volver al punto exacto donde la dejó. El ordenador crea un archivo de imagen comprimida de la memoria física, la cual normalmente lo guarda en el C:, como hiberfil.sys. Este archivo se puede analizar y descomprimido para obtener la información de la memoria. Esto se puede analizar con varias herramientas, además podemos convertirlo en una imagen DD con VolDD.
_
No hay comentarios:
Publicar un comentario