Forense de memoria

También conocido como: Forense de RAM, Análisis de memoria volátil

Disciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria.

El forense de memoria se centra en datos volátiles que desaparecen al apagar el equipo y revela evidencias inalcanzables para el forense de disco: malware cargado solo en memoria, payloads desempaquetados, claves de cifrado, sesiones de navegador, credenciales en claro y técnicas de ocultación de rootkits. La adquisición se realiza con WinPmem, DumpIt, AVML o snapshots de hipervisor, generando volcados en bruto o archivos vmem de VMware. Frameworks como Volatility 3 y Rekall analizan las estructuras del SO para enumerar procesos, DLL, sockets, hives del registro y código inyectado. Es clave en investigaciones de malware sin archivo y APT, y complementa el forense de disco y de red dentro de flujos DFIR alineados con NIST SP 800-86.

Ejemplos

Uso del plugin malfind de Volatility 3 para detectar shellcode inyectado en una imagen de memoria.
Recuperación del output de Mimikatz de un atacante desde un volcado de RAM de Windows.

Forense de memoria

Ejemplos

Términos relacionados

Informática forense

DFIR (Análisis forense y respuesta a incidentes)

Malware sin archivos

Malware Analysis

Forense de disco

Evidence Acquisition

Definición

Ejemplos

Términos relacionados

Informática forense

DFIR (Análisis forense y respuesta a incidentes)

Malware sin archivos

Malware Analysis

Forense de disco

Evidence Acquisition