
En un artículo anterior, discutimos cómo realizar pruebas forenses digitales de RAM usando el marco Volatility. Pero no discutimos cómo obtener memoria de acceso aleatorio (Memoria) para Prueba de análisis forense digital.
Aquí usamos generador de imágenes FTK (FÖrensik ToneladaVayakeso generador de imágenes) para nuestro trabajo de captura de memoria. Podemos instalarlo en una computadora con Windows (la última versión de FTK Imager 4.5 es solo para Windows). Después de eso, podemos obtener RAM.
FTK Imager también puede obtener el sistema de almacenamiento principal, pero hay muchos artículos al respecto en Internet. Aquí, discutiremos cómo obtener la memoria volátil (RAM) de un sistema para análisis forense.
Primero necesitamos descargar la última herramienta FTK Imager del sitio web oficial https://accessdata.com/product-download/ftk-imager-version-4-5.
Haga clic en «Descargar ahora«Tenemos una página para completar el formulario, necesitamos poner nuestra identificación de correo allí, luego se nos enviará por correo el enlace de descarga, podemos ver la captura de pantalla a continuación:
Aquí podemos hacer clic en «Descargar generador de imágenes FTK«. Necesitamos hacer clic aquí e iniciar el proceso de descarga. Este será un archivo exe de menos de 50 MB.
Tras la descarga, podemos instalarla como una aplicación más de Windows.Entonces solo tenemos que hacerlo como Personal de administraciónque se muestra en la siguiente captura de pantalla:
Entonces FTK Imager se abrirá frente a nosotros como se muestra a continuación:
Luego hacemos clic en «documento«En la esquina superior izquierda. Luego hacemos clic»captura memoria» en el menú desplegable. Se muestra en la siguiente captura de pantalla:
Luego se abrirá una ventana emergente donde podemos buscar la ruta de la carpeta de destino donde queremos guardar el volcado de memoria adquirido. Como se muestra en la siguiente captura de pantalla:
Después de seleccionar la carpeta de salida, debemos verificar (✅) el archivo de página y el archivo AD1.
Entonces solo tenemos que hacer clic en «capturar la memoria» Comience a obtener memoria. Como se muestra a continuación:
Una vez completada la adquisición de la memoria, comenzará a capturar el archivo de página y el archivo AD1, como se muestra en la siguiente captura de pantalla:
Una vez completada la adquisición, podemos hacer clic en «cercabotón «, como se muestra a continuación:
Ahora hemos terminado. Podemos ver el archivo de salida en la carpeta de destino que elegimos.
Ahora podemos probar esto fácilmente. .mem Usando los archivos de Volatility en una máquina Kali Linux. Discutimos la volatilidad y sus usos antes.
Así es como se captura la memoria RAM para las pruebas forenses. Cuando no hay carga o corriente en el chip de RAM, los datos en la RAM son muy inestables. Dado que los datos en la RAM son los más volátiles, ocupan un lugar alto en el orden de la volatilidad y deben ser forenses y preservados como una alta prioridad.
¿Te gustan nuestros artículos?Cerciorarse Síganos superior Gorjeo y GitHub, donde publicamos actualizaciones de artículos.Únete a nosotros KaliLinuxEn familia, únete a nosotros grupo de telegramasEstamos trabajando arduamente para construir una comunidad para Linux y la seguridad de la red.Para cualquier cosa, siempre estamos felices de ayudar a todos. Área de comentariosComo sabemos, nuestra sección de comentarios siempre está abierta a todo el mundo.Leemos cada comentario y siempre respondemos.