Adquisición de memoria RAM en Windows

Contenido del Bootcamp dirigido por:

Adquisición de memoria RAM en Windows
¿Qué encontrarás en este post?

¿Sabes cómo hacer una adquisición de memoria RAM en Windows? En el ámbito del análisis forense, la adquisición de una memoria RAM se refiere a la técnica utilizada para extraer y analizar la información almacenada en la memoria RAM de un dispositivo informático dentro de un sistema operativo Windows, como un ordenador o un servidor, con el fin de buscar posibles amenazas o evidencias de un ataque informático.

¿Qué es la adquisición de memoria RAM en Windows?

En sistemas operativos Microsoft Windows, la memoria RAM es un componente crítico que almacena temporalmente los datos y programas utilizados por el sistema en tiempo real. Cuando ocurre un incidente de seguridad, como un ataque de malware o una intrusión, la memoria RAM puede contener información valiosa que podría ayudar a los investigadores a identificar la naturaleza del ataque, determinar su origen y tomar medidas para remediarlo.

La adquisición de la memoria RAM en sistemas operativos Windows implica utilizar otras herramientas especializadas para crear una imagen de la memoria RAM del sistema objetivo sin alterar la información almacenada en ella. Esta imagen se puede analizar posteriormente para buscar patrones o pistas que indiquen una actividad maliciosa o anormal y nos sirva en análisis forenses.

Una vez que se ha hecho la adquisición de memoria RAM en Windows, los investigadores pueden analizarla en busca de patrones o pistas que indiquen una actividad maliciosa o anormal. Por ejemplo, pueden buscar procesos sospechosos, conexiones de red no autorizadas o archivos maliciosos que se hayan cargado en la memoria.

Herramientas para la adquisición de memoria RAM en Windows

Para la adquisición de memoria RAM en Windows necesitaremos algunas herramientas, entre ellas el binario winpmem.

Winpmem

Winpmem es una herramienta de adquisición de memoria RAM en Windows utilizada para adquirir una imagen de memoria física de un sistema operativo Windows en vivo. Fue desarrollada originalmente por el experto en seguridad forense digital Joachim Metz y está disponible como parte del proyecto libforensics.

El programa utiliza un controlador de kernel para obtener acceso directo a la memoria física del sistema, lo que le permite a los investigadores y expertos forenses recolectar y analizar información.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

La imagen de memoria capturada con Winpmem puede utilizarse para análisis forense digital y para la recuperación de datos en situaciones en las que el sistema está apagado o no responde.

Esta herramienta utiliza técnicas de inyección de código para acceder y adquirir la memoria física del sistema. La herramienta es capaz de superar los mecanismos de protección del sistema operativo y capturar la memoria de una manera precisa y eficiente.

Actualmente, el programa se encuentra en la versión 4.0, en la cual se pone a disposición del público una herramienta denominada generador de imágenes pmem «mini». Este solo genera imágenes en bruto y se había deshabilitado unas versiones atrás.

Pasos para adquisición de memoria RAM en Windows

Para hacer una adquisición de memoria RAM en Windows tenemos varias opciones. A continuación te mostramos una de ellas:

Por medio de Win

  • Como primera medida para hacer la adquisición de memoria RAM en Windows, vamos a descargar la herramienta desde GitHub, que es a donde nos dirige directamente la página de Velocidex.
adquisición de memoria RAM en Windows
  • En segunda instancia, vamos a ejecutar el cmd dándole permisos de administrador. Para ello deberemos buscar en la barra de búsqueda la palabra «cmd»:
Adquisición de memoria RAM en Windows
  • Luego haremos clic derecho y seleccionaremos la opción que dice: «Ejecutar como administrador».
Adquisición de memoria RAM en Windows
  • Después confirmamos la opción que dice: «¿Quieres que esta aplicación ejecute cambios en tu dispositivo?». Le damos que sí.
  • Una vez dentro del cmd, escribimos el siguiente comando:
    Winpmem_mini-x64_rc2.exe
    nombre_fichero_adquisicion.mem
  • Una vez hecho esto, le damos a enter para ejecutar el comando antes escrito.
  • Ahora solo tenemos que esperar a que winpmem haga la adquisición de memoria RAM en Windows para obtener el resultado que esperamos.
Adquisición de memoria RAM en Windows

Cabe aclarar que la adquisición de memoria RAM en Windows puede afectar al rendimiento del sistema, por lo que se recomienda hacerlo en una máquina virtual o en un sistema que no se esté utilizando de forma activa.

¿Cómo seguir aprendiendo sobre ciberseguridad?

Ya hemos visto qué es la adquisición de memoria RAM en Windows y cómo hacerla con ayuda de la herramienta winpmem. Si quieres seguir formándote en el ámbito de la seguridad informática, no te pierdas nuestro Ciberseguridad Full Stack Bootcamp, la formación intensiva de alta calidad con la que conseguirás, en pocos meses, transformarte en un gran profesional IT gracias a la guía de profesores expertos en el sector. ¡Pide ahora mismo más información e impulsa ya tu futuro profesional!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado