ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACION ES INFORMÁTICA

TALLER NUMERO 1
CONTEXTUALIZACIÓN MEMORIA RAM

OBJETIVO

- Entender como funcionan algunos dispositivos del computador, y de como a través de estos, es
posible hallar información de interés para la investigación de incidentes y/o evento de Seguridad
de la Información mediante técnicas forenses..

DESARROLLO

Es necesario que los estudiantes pongan mucha atención a las indicaciones del docente frente al
desarrollo de esta actividad.

1. Se deberá instalar la herramienta FTK Imager en su versión 4.3.0., la cual esta anexa al material
entregado por el docente. Nota: Seguir las indicaciones del Docente.

2. Se hará una contextualización de la herramienta de TI 1a emplear, para este caso, es el software

forense FTK Imager en su versión 4.2.0.

3. Después de la contextualización, es necesario realizar las siguientes actividades:

a. Minimizar la herramienta FTK Imager;

1 Tecnologías de la Información

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL

 ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACION ES INFORMÁTICA

b. Abrir su navegador de Internet (Internet Explorer, Chrome, Firefox, entre otros) o adicionar
una nueva ventana en el navegador en donde se encuentren;

c. Ingresar a su cuenta de correo electrónico. Nota: es necesario que deban digitar usuario y contraseña;

d. Una vez han ingresado a su cuenta de correo electrónico, se debe realizar la apertura de
tres (3) o (4) mensajes electrónicos (e-mail), en los cuales debe tener un contenido
semántico, es decir, no debe ser publicidad;

e. De los mensajes abiertos, deben tomar nota de palabras claves de cada uno de ellos.
Ejemplo: johnjeche@yahoo.es, auditoria, póliza, es decir, palabras que posteriormente sirvan
para realizar búsquedas.

4. Una vez se ha navegado por Internet, se debe maximizar la ventana del aplicativo FTK Imager, y
de esta manera ir a la opción archivo -FILE-, Capturar Memoria – CAPTURE MEMORY-, y seguir
los siguientes pasos.

a. En la opción Ruta Destino -DESTINATION PATH- deben elegir la ruta en donde desean
guardar la copia o el volcado de la memoria RAM.

- Deben crear una carpeta en la raíz del disco duro -C- y nombrarla MEMORIARAM, sin
espacio ni caracteres especiales. C:/MEMORIARAM;
- Escoger y verificar que haya quedado seleccionada esta carpeta.

b. Posteriormente, deben dar un nombre al archivo en la opción -DESTINATION FILENAME-.

Nota: Se recomienda dejar el nombre que viene por defecto, esto es, capturememory.dump.

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL

 ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACION ES INFORMÁTICA

c. Dar un clic sobre el botón CAPTURE MEMORY que se encuentra al final de la ventana que
esta activa.

5. Una vez finalizada la captura de la memoria RAM, lo cual podrá confirmase una vez se haya
activado el botón CLOSE, deberán ir a la opción archivo -FILE-, Adicionar un ítem de Evidencia –
ADD EVIDENCE ITEM- y realizar los siguientes pasos:

a. En la ventana que se activa, deberán escoger la opción Archivo de Imagen -IMAGE FILE- y
dar la opción SIGUIENTE;
b. En esta nueva ventana les solicitará la ubicación en donde se encuentre el archivo del volcado
de Memoria RAM, que, si no cambiaron el nombre, deberán ser CAPTUREMEMOR.DUMP,
ubicado en la ruta C:/MEMORIARAM;
c. Una vez hecha estas acciones, podrán observarse la información que tomaron de la memoria
RAM , es decir, del volcado de la memoria de cada uno de sus computadores. ¡Inicialmente
no entenderán nada¡

6. Una vez hechos los pasos anteriores, comenzaremos a realizar búsquedas de información, para
ello deberán:

a. Ubicarse en la ventana de previsualización, en donde podrán observar dos (2) secciones,

una que contiene códigos Hexadecimales, esto podrá detectarse porque posee números y
letras que vienen por parejas, y la otra, es una visualización de texto plano, usualmente al
lado derecho del código hexadecimal.

b. Cada alumno deberá navegar por esta previsualización mediante la barra de desplazamiento
que se encuentra al costado derecho, tratando de encontrar información legible y entendible;

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL

 ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACION ES INFORMÁTICA

c. Ahora, el alumno deberá ubicar el mouse sobre la sección de texto y dar un clic derecho,
con ello, se activan una opciones, debiendo escoger FIND.

d. Esta opción viene parametrizada por defecto, teniendo las opciones de TEXT ANSI y
UNICODE activas, las cuales deben permanecer así. En este momento se deberá digitar en
la casilla superior FIND WHAT lo que se desea hallar como palabra clave, por ende, se deberá
buscar lo siguiente:

- Deben digitar la clave de su correo electrónico, esto, para determinar si queda legible
en la información de la memoria RAM;
- Deben buscar las palabras claves que obtuvieron de sus correos electrónicos. Nota: Deben
encontrar el correo electrónico completo, no solamente la palabra clave. Si en el primer intento no hallaron
el mensaje, el software permite seguir hallando más aciertos de búsqueda, esto, dando clic derecho en el
área de texto y escogiendo la opción FIND NEXT o la opción F3.
-
7. Comentar los resultados.

TIEMPO DE EJECUCIÓN DE TALLER

- Una (1) hora.

HERRAMIENTAS

- Computador;
- Sistema Operativo Windows;
- Software FTK Image.

Ingeniero JOHN JAIRO ECHEVERRY ARISTIZABAL