Forense de memória
O que é Forense de memória?
Forense de memóriaDisciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.
A forense de memória foca dados voláteis que desaparecem ao desligar o equipamento e expõe evidências inacessíveis pela forense de disco: malware apenas em memória, payloads desempacotados, chaves criptográficas, sessões de navegador, credenciais em texto claro e técnicas de ocultação de rootkits. A aquisição usa WinPmem, DumpIt, AVML ou snapshots de hipervisor, gerando dumps em bruto ou ficheiros vmem do VMware. Frameworks como Volatility 3 e Rekall analisam estruturas do SO para enumerar processos, DLLs, sockets, hives de registo e injeção de código. É essencial em casos de malware sem ficheiro e APT, complementando forense de disco e de rede em fluxos DFIR alinhados com o NIST SP 800-86.
● Exemplos
- 01
Uso do plugin malfind do Volatility 3 para detetar shellcode injetado numa imagem de memória.
- 02
Recuperação do output do Mimikatz a partir de um dump de RAM Windows.
● Perguntas frequentes
O que é Forense de memória?
Disciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Forense de memória?
Disciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.
Como se defender contra Forense de memória?
As defesas contra Forense de memória costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Forense de memória?
Nomes alternativos comuns: Forense de RAM, Análise de memória volátil.