ANALISIS FORENSE de MEMORIA RAM | IMAGEN de WINDOWS | Kali Linux

[admin]

Con WinpMem obtendremos una imagen de memoria de Microsoft Windows, el proceso es valido para Windows XP, Windows Server, Windows 7, Windows 8, Windows 10, Windows Vista y Windows 11. Despues analizaremos la imagen con Volatility en un Kali Linux. Para entender un poco mas al respecto recomiendo ver con anterioridad este video

Volatility soporta el analisis forense de las siguientes imágenes de memoria:

Perfiles Windows:

* Windows XP de 32 bits Service Pack 2 y 3
* Paquete de servicio de servidor Windows 2003 de 32 bits 0, 1, 2
* Paquete de servicios Windows Vista de 32 bits 0, 1, 2
* Windows 2008 Server Service Pack 1, 2 de 32 bits (no hay SP0)
* Paquete de servicio 0, 1 de Windows 7 de 32 bits
* Windows 8, 8.1 y 8.1 Actualización 1 de 32 bits
* Windows 10 de 32 bits (soporte inicial)
* Windows XP de 64 bits Service Pack 1 y 2 (no hay SP0)
* Windows 2003 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
* Paquete de servicio Windows Vista de 64 bits 0, 1, 2
* Windows 2008 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
*Servidor Windows 2008 R2 de 64 bits Service Pack 0 y 1
* Windows 7 de 64 bits Service Pack 0 y 1
* Windows 8, 8.1 y 8.1 Actualización 1 de 64 bits
* Servidor Windows 2012 y 2012 R2 de 64 bits
* Windows 10 de 64 bits (incluido al menos 10.0.19041)
* Windows Server 2016 de 64 bits (incluido al menos 10.0.19041)


Linux:
* 32-bit Linux kernels 2.6.11 to 5.5
* 64-bit Linux kernels 2.6.11 to 5.5
* OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc

Mac OSX:
* 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
* 32-bit 10.6.x Snow Leopard
* 64-bit 10.6.x Snow Leopard
* 32-bit 10.7.x Lion
* 64-bit 10.7.x Lion
* 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
* 64-bit 10.9.x Mavericks (there is no 32-bit version)
* 64-bit 10.10.x Yosemite (there is no 32-bit version)
* 64-bit 10.11.x El Capitan (there is no 32-bit version)
* 64-bit 10.12.x Sierra (there is no 32-bit version)
* 64-bit 10.13.x High Sierra (there is no 32-bit version))
* 64-bit 10.14.x Mojave (there is no 32-bit version)
* 64-bit 10.15.x Catalina (there is no 32-bit version)


 
LINKS IMPORTANTES

https://www.eyehatemalwares.com/digital ... -printkey/
https://unminioncurioso.blogspot.com/20 ... ty_21.html
https://www.eyehatemalwares.com/digital ... y-modules/
https://github.com/Velocidex/WinPmem/releases
https://github.com/Velocidex/WinPmem
https://github.com/Yara-Rules/rules/tre ... ploit_kits
imagen de memoria con malware para praticar
https://andreafortuna.org/2018/07/16/fi ... ara-rules/

COMANDOS IMPORTANTES

Código: Seleccionar todo

winpmem_mini_x64_rc2.exe example.raw



vol.py -f example.raw imageinfo


vol.py --info | grep pslist

vol.py --profile=Win7SP1x64 -f example.raw pslist


vol.py --info | grep psscan

vol.py --profile=Win7SP1x64 -f example.raw psscan
vol.py --profile=WinXPSP2x86 -f stuxnet.vmem psscan



vol.py --info | grep dlllist

vol.py --profile=Win7SP1x64 -f example.raw dlllist
vol.py --profile=Win7SP1x64 -f example.raw --pid 4336 dlllist

vol.py --profile=WinXPSP2x86 -f stuxnet.vmem --pid 1032 dlllist




vol.py --info | grep modules

vol.py --profile=Win7SP1x64 -f example.raw modules



vol.py --info | grep modscan

vol.py --profile=Win7SP1x64 -f example.raw modscan| less



vol.py --info | grep printkey
vol.py --info | grep hivelist

vol.py --profile=Win7SP1x64 -f example.raw hivelist

vol.py --profile=Win7SP1x64 -f example.raw printkey -K "Microsoft\\Windows\\CurrentVersion\\Run"

vol.py --profile=Win7SP1x64 -f example.raw printkey -K "Software\\Microsoft\\Windows\\CurrentVersion\\Run"



vol.py --info | grep netscan

vol.py --profile=Win7SP1x64 -f example.raw netscan


vol.py --info | grep yarascan

vol.py --profile=Win7SP1x64 -f example.raw yarascan --yara-file EK_Zeus.yar

vol.py --profile=Win7SP1x64 -f example.raw yarascan --yara-file crypto_signatures.yar


vol.py --profile=Win7SP1x64 -f stuxnet.vmem yarascan --yara-file crypto_signatures.yar
vol.py --profile=Win7SP1x64 -f stuxnet.vmem yarascan --yara-file APT_Stuxnet.yar

VIDEO TUTORIAL




Volatility ,LiME ,Memory Dump ,Imagen de Memoria,Hacking Forense,Análisis Malware,Android Forense,Malware Analysis,Forensic Analysis,TecnologíaForense,Linux Forense,Investigación Digital,Memory forensics tool,como hacer captura de la memoria RAM,Open Source,memory forensics platform,Windows Malware and Memory Forensics Training,Seguridad Informatica,Cyber Seguridad,CyberSecurity,Curso,Captura de Memoria RAM,Capturar memoria,capture memory,Capacitacionvol,ANALIZANDO un DUMP de MEMORIA RAM,CAPTURE MEMORY DUMP,Como extraer memoria ram ,How to get a memory ram,Como conseguir una imagen de la memoria de una computadora,Obtener informacion de una memoria ram,Leyendo la memoria de un Android ,Reading memory ram ,Memory Acquisition and Analysis,Laboratorio de Pruebas,Test Lab,linux server,blue team,capture the flag,hacking,blue team course,red team vs blue team,blue team training,blue team cyber training,cybersecurity for beginners,cyber security career,information security,cybersecurity training,cyber security tutorial,penetration testing linux,Forensic Investigation,Mobile Forensics,Malware Forensics,Hacking Forensics,Memory Extraction,Digital Investigation,memory acquisition,open source memory acquisition,Rekall project,Raw memory,AFF4 imager,Adquisición de memoria volátil en Windows,FTK Imager,Volatility,DumpIt,Redline,Osxpmem,Memoryze,FastDump,RamCapture,Herramienta de adquisición,win32dd,win64dd,analyze memory dumps,Linpmem,Forense digital,Belkasoft RAM Capturer,MAGNET DumpIt for Windows & Linux,Qué es la adquisición de memoria RAM,adquisición de la memoria RAM en sistemas operativos,Herramientas para la adquisición de memoria RAM,INSPECT THE CAPTURED DUMP,obtención del volcado de datos,Collects a Raw Physical Memory Dump,File and Memory Collection,volcado de RAM