Forense de memoria es forense análisis de un equipo 's de volcado de memoria . Su aplicación principal es la investigación de ataques informáticos avanzados que son lo suficientemente sigilosos como para evitar dejar datos en el disco duro de la computadora . En consecuencia, la memoria ( RAM ) debe analizarse en busca de información forense.
Antes de 2004, el análisis forense de la memoria se realizaba ad hoc , utilizando herramientas genéricas de análisis de datos como cadenas y grep . Estas herramientas no se crearon específicamente para el análisis forense de la memoria y, por lo tanto, son difíciles de usar. También proporcionan información limitada. En general, su uso principal es extraer texto del volcado de memoria. [1]
Muchos sistemas operativos brindan funciones a los desarrolladores de kernel y a los usuarios finales para crear una instantánea de la memoria física con fines de depuración ( volcado de núcleo o pantalla azul de la muerte ) o para mejorar la experiencia ( hibernación (informática) ). En el caso de Microsoft Windows , los volcados por caída y la hibernación habían estado presentes desde Microsoft Windows NT . Microsoft WinDbg siempre había analizado los volcados de memoria de Microsoft , y los archivos de hibernación de Windows (hiberfil.sys) se pueden convertir en los volcados de memoria de Microsoft utilizando utilidades como MoonSols Windows Memory Toolkit diseñado por Matthieu Suiche.
En febrero de 2004, Michael Ford introdujo el análisis forense de la memoria en las investigaciones de seguridad con un artículo en la revista SysAdmin. [2] En ese artículo, demostró el análisis de un rootkit basado en memoria. El proceso utilizó la utilidad de bloqueo de Linux existente , así como dos herramientas desarrolladas específicamente para recuperar y analizar la memoria de forma forense, memget y mempeek.
En 2005, DFRWS emitió un Desafío forense de análisis de memoria. [3] En respuesta a este desafío, se crearon más herramientas de esta generación, diseñadas específicamente para analizar volcados de memoria. Estas herramientas tenían conocimiento del sistema operativo que está internos estructuras de datos , y por lo tanto eran capaces de reconstruir el sistema operativo 's proceso de la lista y procesar la información. [3]
Aunque pensados como herramientas de investigación, demostraron que el análisis forense de la memoria a nivel del sistema operativo es posible y práctico.