Forense de memoria
¿Qué es Forense de memoria?
Forense de memoriaDisciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria.
El forense de memoria se centra en datos volátiles que desaparecen al apagar el equipo y revela evidencias inalcanzables para el forense de disco: malware cargado solo en memoria, payloads desempaquetados, claves de cifrado, sesiones de navegador, credenciales en claro y técnicas de ocultación de rootkits. La adquisición se realiza con WinPmem, DumpIt, AVML o snapshots de hipervisor, generando volcados en bruto o archivos vmem de VMware. Frameworks como Volatility 3 y Rekall analizan las estructuras del SO para enumerar procesos, DLL, sockets, hives del registro y código inyectado. Es clave en investigaciones de malware sin archivo y APT, y complementa el forense de disco y de red dentro de flujos DFIR alineados con NIST SP 800-86.
● Ejemplos
- 01
Uso del plugin malfind de Volatility 3 para detectar shellcode inyectado en una imagen de memoria.
- 02
Recuperación del output de Mimikatz de un atacante desde un volcado de RAM de Windows.
● Preguntas frecuentes
¿Qué es Forense de memoria?
Disciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Forense de memoria?
Disciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria.
¿Cómo defenderse de Forense de memoria?
Las defensas contra Forense de memoria combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Forense de memoria?
Nombres alternativos comunes: Forense de RAM, Análisis de memoria volátil.