Capturador de RAM Belkasoft para forenses

Belkasoft Live Ram Capturer es una pequeña utilidad forense que nos permite extraer el contenido al completo de nuestra memoria volátil -incluso si estamos protegidos por un sistema anti-depuración y anticapturas. Existen versiones de 32 y 64 bit que están diseñadas para minimizar el tamaño de cada paquete.

Los memory dumps o «capturas» con Belkasoft Live Ram Capturer pueden ser analizadas con Belkasoft Evidence Center. El capturador de RAM es compatible con cualquier versión de Windows incluyendo XP, Vista, Windows 7 y 8, 2003 y 2008 Server.

Por qué es importante este tipo de herramientas durante la identificación de amenazas

Los registros de memoria son recursos de gran valor debido a que su información es volátil y registra el comportamiento del sistema antes del fallo. Las capturas pueden contener contraseñas de volúmenes encriptados (TrueCrypt, BitLocker, PGP Disk) credenciales de acceso a cuentas de redes sociales y correo como Gmail, Yahoo Mail, etc. sistemas de intercambio de archivos como DropBox, Skydrive, etc.

Para poder extraer estos datos efímeros fuera de la memoria de sistema, los expertos forenses deben emplear un software de análisis adecuado como Belkasoft Evidence Center. También se usan otras herramientas como Elcomsoft Forensic Disk Decriptor para extraer contraseñas de volúmenes encriptados.

Diseñado para «saltarse» las restricciones Anti-depuración y Anti-volcado