Prácticas de Laboratorio PR-SEC 001

“Análisis Forense Memoria RAM”

Módulo Estudio: Análisis Forense de Memoria
RAM con Volatility Framework
Práctica de laboratorio
Objetivos:

 Aplicar los conocimientos obtenidos en los diferentes videos que componen el módulo
de estudio de Análisis Forense de Memoria RAM como evidencia forense, usando la
herramienta volatilit Framework y sus respectivos comandos a nivel de análisis de
procesos, redes (Networking), regedit, extracción de procesos maliciosos, entre otros.

 Aplicar las diferentes comandos de la herramienta volatility Framework que se

encuentra instalada en KAli Linux, para hacer un análisis forense del dump de
memoria RAM cridex.vmem.

 Lanzar comandos de análisis de memoria con la herramienta volatilityt Framework

usando la herramienta desde el sistema operativo KALI LINUX.

Recursos:

 Vmware workstation versión de 30 días 100% funcional para Windows-Linux

https://www.vmware.com/go/getworkstation-win

 KAli Linux para vmware

https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/

 Dump de memoria RAM cridex.vmem

http://files.sempersecurus.org/dumps/cridex_memdump.zip

Recomendaciones:

 Comprender bien los comandos volatility framework que se ilustran de forma práctica
en los videos del capítulo de estudio descrito como: Análisis Forense de Memoria
RAM.

 Instalar VMWARE WORKSTATION en su máquina local, cargar KALI Linux a la maquina

vitual VMWARE, y copiar al directorio de volatility framework el archivo DUMP de
memoria RAM que se debe de analizar.( cridex.vmem)

 Observar y estudiar primero todos los videos del capítulo de del capítulo de estudio
descrito como: Análisis Forense de Memoria RAM

Desarrollo de la Guía de Laboratorio: El estudiante debe de hacer un análisis de

memoria según lo solicitado a continuación:
Paso Numero 1: Descargar el archivo cridex.vmem, descomprimirlo y pasarlo a la ruta de
volatility framework en KALI LINUX. (Registrar y analizar los resultados).

Paso Numero 2: Perfilar el dump memoria RAM contenido en el archivo cridex.vmem, para
validar el sistema operativo desde el que procede, y aplicar el respectivo perfil a utilizar, y ver
si este es soportado por volatilityt framework. (Registrar y analizar los resultados).

Paso Numero 3: Ejecutar los comandos volatility framework estudiados en los videos, para
analizar procesos que puedan clasificarse o identificarse como maliciosos dentro del dump de
memoria cridex.vmem. (Registrar y analizar los resultados).

Paso Numero 4: Ejecutar los comandos volatility framework estudiados en los videos, para
analizar procesos y conexiones de red asociadas, que puedan clasificarse o identificarse como
maliciosos dentro del dump de memoria cridex.vmem. (Registrar y analizar los resultados).

Paso Numero 5: Ejecutar los comandos volatility framework estudiados en los videos, para
extraer y analizar evidencias relacionadas con el registro de Windows, que puedan clasificarse
o identificarse como maliciosos dentro del dump de memoria cridex.vmem. (Registrar y
analizar los resultados).