Forense de memória

Também conhecido como: Forense de RAM, Análise de memória volátil

Disciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.

A forense de memória foca dados voláteis que desaparecem ao desligar o equipamento e expõe evidências inacessíveis pela forense de disco: malware apenas em memória, payloads desempacotados, chaves criptográficas, sessões de navegador, credenciais em texto claro e técnicas de ocultação de rootkits. A aquisição usa WinPmem, DumpIt, AVML ou snapshots de hipervisor, gerando dumps em bruto ou ficheiros vmem do VMware. Frameworks como Volatility 3 e Rekall analisam estruturas do SO para enumerar processos, DLLs, sockets, hives de registo e injeção de código. É essencial em casos de malware sem ficheiro e APT, complementando forense de disco e de rede em fluxos DFIR alinhados com o NIST SP 800-86.

Exemplos

Uso do plugin malfind do Volatility 3 para detetar shellcode injetado numa imagem de memória.
Recuperação do output do Mimikatz a partir de um dump de RAM Windows.

Forense de memória

Exemplos

Termos relacionados

Forense digital

DFIR (Forense digital e resposta a incidentes)

Malware sem ficheiro

Malware Analysis

Forense de disco

Evidence Acquisition

Definição

Exemplos

Termos relacionados

Forense digital

DFIR (Forense digital e resposta a incidentes)

Malware sem ficheiro

Malware Analysis

Forense de disco

Evidence Acquisition