Volcado de Memoria

Asignatura Datos del alumno Fecha
Apellidos: Belmarez Amador

Análisis forense 01/08/2022
Nombre: Juan Francisco
Actividades
Actividad: Obtención y análisis de un volcado de

memoria de un equipo vivo.
Objetivos:
Comprender el proceso para obtener la evidencia de un equipo vivo, así como su

análisis utilizando las herramientas vistas en clase. Comprender como se debe tratar
la evidencia obtenida. Reafirmar los conocimientos adquiridos sobre los metadatos
que pueden contener los archivos.
El objetivo principal de esta actividad es comprender cómo se obtiene la evidencia

de un equipo vivo, su análisis con las herramientas vistas en clase y comprender
como se debe de tratar la evidencia obtenida.
Descripción y pautas de la actividad
Para realizar la actividad, el alumno deberá obtener y analizar la imagen forense de

un equipo vivo, la cual se obtendrá de su equipo personal con las herramientas vistas
en clase (Volatility, HashCalc).
Para realizar la práctica debe responder de manera concreta las preguntas

planteadas y respaldar su respuesta con imágenes.
I. ¿Cuál es el Hash (SHA256) de la evidencia obtenida?

II. ¿Cuál es el perfil de la evidencia?
III. ¿Cuál sistema operativo instalado?
IV. ¿Cuáles son los procesos que se estaban ejecutando en el Dump de la
memoria?
Actividades 1
V. Muestra el listado de procesos en forma gráfica(árbol)

VI. ¿Cuáles son los puertos y conexiones abiertas?
VII. Extrae el proceso no. 15 que se estaba ejecutando en el Dump de memoria a
un archivo de texto (agrega solo la imagen del archivo obtenido).
VIII. Extrae los hashes de las contraseñas de los diferentes usuarios en un fichero
llamado hashes.txt
Rúbrica
Obtención y
análisis de un Puntuación
Peso
volcado de Descripción máxima
%
memoria de un (puntos)
equipo vivo.
Criterio 1 Responder a las preguntas 1 a 6 6 60%

de manera correcta
Criterio 2 Responder a las preguntas 7 y 8 4 40%
de manera correcta
10 100 %
Extensión
Para responder a la actividad deben contestarse las 8 preguntas que la componen,

no pudiendo extenderse más de seis páginas. Fuente Georgia 11, interlineado 1,5,
margen superior e inferior 2,5 cm y margen izquierdo y derecho 3,25 cm.
Actividades 2
Índice
Introducción ------------------------------------------------------------------ 4
Laboratorio informático -------------------------------------------------------
Desarrollo
Sección de preguntas
Conclusiones
Bibliografía …………………
Actividades 3
Introducción
Un volcado de memoria es el registro de todo el contenido de la memoria del sistema
cuando el equipo se detiene inesperadamente este puede contener datos de procesos
que se estaban ejecutando cuando se recogía el volcado de memoria. (Deland-Han,
2022)
Comprender el ciclo de obtención de pruebas de equipos en vivo, así como su
examen utilizando los dispositivos encontrados en clase.
Examinar utilizando los dispositivos que se encuentran en la clase. Comprender

cómo
las pruebas obtenidas deben ser tratadas. Reafirmar la información obtenida
sobre los metadatos que pueden contener los registros.
El objetivo principal de esta acción es comprender cómo se adquiere la prueba de un

hardware vivo, su investigación con los aparatos la prueba se obtiene de un PC en
vivo, su examen con los dispositivos que se encuentran en la clase y para
comprender cómo tratar las pruebas obtenidas.
Actividades 4
Laboratorio informático
Para la elaboración del entrenamiento ejecutamos un marco de trabajo con

Windows 7 64 Bits con una memoria disminuida de 1gb. La máquina virtual
se llama Laboratorio, que actuará como una especie de modo de perspectiva para las
confirmaciones, así como la utilización de una nota rápida.
En consecuencia, se introdujo la programación adjunta para realizar el volcado de

memoria y el cálculo sha256.
Desarrollo
Sección de preguntas
Actividades 5
¿Cuál es el Hash (SHA256) de la evidencia obtenida?

¿Cuál es el perfil de la evidencia?
¿Cuál sistema operativo instalado?
¿Cuáles son los procesos que se estaban ejecutando en el Dump de la
memoria?
Muestra el listado de procesos en forma gráfica(árbol)
¿Cuáles son los puertos y conexiones abiertas?
Extrae el proceso no. 15 que se estaba ejecutando en el Dump de memoria a
un archivo de texto (agrega solo la imagen del archivo obtenido).
Extrae los hashes de las contraseñas de los diferentes usuarios en un fichero
llamado hashes.txt
Conclusiones
Actividades 6

Volcado de Memoria

Cargado por

Copyright:

Formatos disponibles

Volcado de Memoria

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Volcado de Memoria

Cargado por

Copyright:

Formatos disponibles

Asignatura Datos del alumno Fecha

Apellidos: Belmarez Amador

Actividad: Obtención y análisis de un volcado de

Comprender el proceso para obtener la evidencia de un equipo vivo, así como su

El objetivo principal de esta actividad es comprender cómo se obtiene la evidencia

Descripción y pautas de la actividad

Para realizar la actividad, el alumno deberá obtener y analizar la imagen forense de

Para realizar la práctica debe responder de manera concreta las preguntas

I. ¿Cuál es el Hash (SHA256) de la evidencia obtenida?

V. Muestra el listado de procesos en forma gráfica(árbol)

Criterio 1 Responder a las preguntas 1 a 6 6 60%

Para responder a la actividad deben contestarse las 8 preguntas que la componen,

Laboratorio informático -------------------------------------------------------

Examinar utilizando los dispositivos que se encuentran en la clase. Comprender

El objetivo principal de esta acción es comprender cómo se adquiere la prueba de un

Para la elaboración del entrenamiento ejecutamos un marco de trabajo con

En consecuencia, se introdujo la programación adjunta para realizar el volcado de

¿Cuál es el Hash (SHA256) de la evidencia obtenida?

También podría gustarte