Orden de volatilidad
¿Qué es Orden de volatilidad?
Orden de volatilidadPrioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
El orden de volatilidad es un principio fundamental del DFIR, recogido en el RFC 3227, que clasifica la evidencia digital segun la rapidez con la que cambia o desaparece. El orden canonico es: registros y cache de CPU, memoria del kernel y de los procesos, estado de red y caches ARP, procesos en ejecucion, sistemas de archivos temporales, almacenamiento persistente, datos de logging y monitorizacion remota y, por ultimo, configuracion fisica y medios de archivo. Los responders deben crear imagenes de las fuentes volatiles antes de apagar o reiniciar, pues la RAM, las sesiones de red y el estado de enrutado se pierden al apagar. En IR moderna de Windows, esto suele implicar capturar memoria con WinPmem o DumpIt y triar artefactos volatiles con KAPE o Velociraptor antes de los procedimientos forenses de apagado.
● Ejemplos
- 01
Adquirir un volcado de memoria y la salida de netstat antes de desconectar un host con beacon activo.
- 02
Recoger claves de sesion TLS desde la RAM antes de que se borren al cerrar sesion.
● Preguntas frecuentes
¿Qué es Orden de volatilidad?
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Orden de volatilidad?
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
¿Cómo funciona Orden de volatilidad?
El orden de volatilidad es un principio fundamental del DFIR, recogido en el RFC 3227, que clasifica la evidencia digital segun la rapidez con la que cambia o desaparece. El orden canonico es: registros y cache de CPU, memoria del kernel y de los procesos, estado de red y caches ARP, procesos en ejecucion, sistemas de archivos temporales, almacenamiento persistente, datos de logging y monitorizacion remota y, por ultimo, configuracion fisica y medios de archivo. Los responders deben crear imagenes de las fuentes volatiles antes de apagar o reiniciar, pues la RAM, las sesiones de red y el estado de enrutado se pierden al apagar. En IR moderna de Windows, esto suele implicar capturar memoria con WinPmem o DumpIt y triar artefactos volatiles con KAPE o Velociraptor antes de los procedimientos forenses de apagado.
¿Cómo defenderse de Orden de volatilidad?
Las defensas contra Orden de volatilidad combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Orden de volatilidad?
Nombres alternativos comunes: Orden de volatilidad, Orden RFC 3227.
● Términos relacionados
- forensics-ir№ 787
pagefile.sys
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
- forensics-ir№ 474
hiberfil.sys
Archivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.