En este artículo te enseñaremos cómo hacer la adquisición remota de memoria RAM para Windows. La adquisición remota de memoria RAM se refiere al proceso de obtener una copia de la memoria RAM de un sistema, todo ello de forma remota, es decir, sin tener que acceder de forma directa y personal al ordenador que se vaya a analizar.
¿Qué es la adquisición remota de memoria RAM?
La memoria RAM de un sistema informático es un recurso valioso para los investigadores de seguridad, ya que puede contener información relevante sobre las actividades del usuario y el sistema. La adquisición remota de memoria RAM se suele utilizar en la investigación de incidentes de seguridad, en la evaluación de vulnerabilidades de seguridad y en la detección de malware.
Para llevar a cabo la adquisición remota de memoria RAM, se utilizan herramientas de software especializadas, que le permiten a los investigadores conectarse de forma remota al sistema y hacer una copia de la memoria RAM del mismo. Esto puede realizarse a través de una conexión de red, un puerto USB, una conexión FireWire o cualquier otro mecanismo que permita acceder a la memoria RAM del sistema.
¿Cómo hacer la adquisición remota de memoria RAM?
En vez de generamos un fichero .lime en nuestra propia máquina, podríamos decirle al sistema que redirija dicho archivo a otra máquina. Para hacer la adquisición remota de memoria RAM necesitaríamos dos cosas:
Máquina local
La máquina donde queremos almacenar la adquisición remota de memoria RAM, la cual estará escuchando mediante un ncat.exe. A nuestra máquina le ponemos una IP remota que va a recibir información y el puerto. Después, simplemente, tendríamos que establecer la conexión.
El parámetro completo quedaría del siguiente modo:
«C: \Program Files (x86 \Nmap \ncat.exe"ip_maquina_remota puerto >>nombre_fichero.lime
Máquina remota
La máquina que vayamos a adquirir. Habría que escribir lo siguiente: sudo insmod fichero_kernel.ko"path = tcp : puerto format = lime".
Siendo los parámetros:
- fichero_kernel.ko: fichero del kernel generado anteriormente.
- puerto: el puerto que utilizaremos para la comunicación.
- line: el tipo de adquisición remota de memoria RAM que queremos hacer.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEn este caso, el comando fichero_kernel.ko quedaría igual, pero el path cambiaría, de modo que tendríamos que poner path igual a tcp : y el puerto, para decir que nos redirija todas las salidas a través del puerto que le pongamos.
Con esto lo que hacemos es que, en vez de guardar el fichero de memoria en nuestra máquina, nos lo guarda en una máquina local.
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos aprendido cómo hacer la adquisición remota de memoria RAM, un proceso que requiere dos equipos, uno local y uno remoto, para su ejecución. Si quieres seguir formándote en las diversas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, la formación con la que lograrás, en muy pocos meses, convertirte en un gran profesional en este mundillo con la guía de expertos en el sector. ¡Pide más información y transforma ya tu futuro profesional!
