Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 71 vistas

    Volcado de Memoria RAM

    Cargado por

    aneudyh
    Este documento describe cómo realizar un volcado de memoria RAM para obtener información sensible almacenada en ella. Explica que la herramienta Process Dumper permite realizar volcados de memoria en Windows y Linux mediante el ID de proceso. Detalla los pasos para obtener el ID en cada sistema operativo, descomprimir la herramienta, ejecutarla para volcar la memoria de un proceso específico a un archivo, y extraer cadenas de texto del volcado para su análisis.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd

    Volcado de Memoria RAM

    Cargado por

    aneudyh
    71 vistas2 páginas
    Este documento describe cómo realizar un volcado de memoria RAM para obtener información sensible almacenada en ella. Explica que la herramienta Process Dumper permite realizar volcados de memoria en Windows y Linux mediante el ID de proceso. Detalla los pasos para obtener el ID en cada sistema operativo, descomprimir la herramienta, ejecutarla para volcar la memoria de un proceso específico a un archivo, y extraer cadenas de texto del volcado para su análisis.

    Título original

    Volcado de Memoria RAM.doc

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe cómo realizar un volcado de memoria RAM para obtener información sensible almacenada en ella. Explica que la herramienta Process Dumper permite realizar volcados de memoria en Windows y Linux mediante el ID de proceso. Detalla los pasos para obtener el ID en cada sistema operativo, descomprimir la herramienta, ejecutarla para volcar la memoria de un proceso específico a un archivo, y extraer cadenas de texto del volcado para su análisis.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    71 vistas2 páginas

    Volcado de Memoria RAM

    Cargado por

    aneudyh
    Este documento describe cómo realizar un volcado de memoria RAM para obtener información sensible almacenada en ella. Explica que la herramienta Process Dumper permite realizar volcados de memoria en Windows y Linux mediante el ID de proceso. Detalla los pasos para obtener el ID en cada sistema operativo, descomprimir la herramienta, ejecutarla para volcar la memoria de un proceso específico a un archivo, y extraer cadenas de texto del volcado para su análisis.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    de 2

    Volcado de Memoria RAM

    Muchas veces la RAM es la gran desconocida y no nos aprovechamos de la información


    en ella almacenada. En este caso y gracias al blog conexioninversa vamos a ver que es
    posible obtener información sensible de la misma.

    Veremos que el proceso es muy sencillo. Como siempre existen multitud de programas
    que iremos analizando en el tiempo. Esta vez vamos a probar una herramienta de la
    empresa trapkit denominada pd – Process Dumper disponible tanto para Windows como
    Linux.

    Necesitamos conocer el ID del proceso sobre el que queremos realizar el volcado de


    memoria, y a partir del mismo empezar a trabajar.

    En función del Sistema Operativo en el que nos encontremos la obtención de ese ID se


    realizara de forma diferente.

    Si estamos ante un Windows podemos utilizar el Tasklist, por ejemplo con la siguiente
    instrucción:

    tasklist /FI “IMAGENAME eq proceso_analizar”

    o podemos utilizar herramientas como el archiconocido Process Explorer, de la antigua


    Sysinternals ahora bajo las garras de Microsoft.

    En caso de encontrarnos ante un sistema unix, podemos ayudarnos de nuestro amigo ps


    para obtener la misma información

    ps -ef | grep firefox


    pedimave  6553  5785  0 16:45 ?          00:00:00 /bin/sh /usr/bin/firefox

    Una vez conocido el identificativo del proceso, el resto no tiene ningún misterio. Voy a
    realizar el proceso en Linux, ya que en Windows seria de la misma forma.

    Descomprimimos el archivo descargado: bunzip2 pd_v1.1_lnx.bz2


    Esto nos genera un archivo pd_v1.1_lnx.

    Ahora no queda mas que ejecutarlo: pd -v -p 6553 > firefox.dump

    Con la opción verbose (-v) vemos como se esta ejecutando el volcado de memoria, y
    solo nos queda esperar a que termine.

    Una vez este proceso ha terminado, lo que podemos hacer es obtener todas las cadenas
    del mismo para poder analizarlas en un formato legible. Para ellos disponemos de una
    herramienta llamada strings que realiza precisamente eso.

    Strings firefox.dump > firefox.txt


    Ahora que ya tenemos generado el fichero en formato texto, ya podemos empezar a
    trabajar. Podemos abrirlo con algún editor o utilizar alguna herramienta o script, con el
    que empezar a buscar información que nos pueda interesar.

    A partir de aquí la imaginación o la suerte hará el resto.

    Suerte a todos.

    También podría gustarte