Capturador de RAM Belkasoft para forenses

Belkasoft Live Ram Capturer es una pequeña utilidad forense que nos permite extraer el contenido al completo de nuestra memoria volátil -incluso si estamos protegidos por un sistema anti-depuración y anticapturas. Existen versiones de 32 y 64 bit que están diseñadas para minimizar el tamaño de cada paquete.

Los memory dumps o “capturas” con Belkasoft Live Ram Capturer pueden ser analizadas con Belkasoft Evidence Center. El capturador de RAM es compatible con cualquier versión de Windows incluyendo XP, Vista, Windows 7 y 8, 2003 y 2008 Server.

Por qué es importante este tipo de herramientas durante la identificación de amenazas

Los registros de memoria son recursos de gran valor debido a que su información es volátil y registra el comportamiento del sistema antes del fallo. Las capturas pueden contener contraseñas de volúmenes encriptados (TrueCrypt, BitLocker, PGP Disk) credenciales de acceso a cuentas de redes sociales y correo como Gmail, Yahoo Mail, etc. sistemas de intercambio de archivos como DropBox, Skydrive, etc.

Para poder extraer estos datos efímeros fuera de la memoria de sistema, los expertos forenses deben emplear un software de análisis adecuado como Belkasoft Evidence Center. También se usan otras herramientas como Elcomsoft Forensic Disk Decriptor para extraer contraseñas de volúmenes encriptados.

Diseñado para “saltarse” las restricciones Anti-depuración y Anti-volcado

Adquirir la memoria volátil desde un ordenador que use estos sistemas requiere ciertos métodos fuera de lo común. La mayoría de programas dedicados a salvado de memoria se ejecutan en “modo usuario”, por lo que no son capaces de saltarse estas restricciones y, por tanto, no podrán capturar todos los datos relevantes (se requiere el modo kernel con máximos privilegios). Belkasoft está preparado para ejecutarse en Modo Kernel, por lo que puede capturar todos los datos sin restricciones.
Volcados de memoria forenses
Belkasoft produce un impacto mínimo sobre la memoria del sistema, ya que no requiere instalación y se puede ejecutar rápidamente desde una unidad USB externa. Viene equipado con versiones de Kernel tanto de 32 como de 64 bit asegurando su compatibilidad. Uno de los problemas que ofrecen tradicionalmente los programas de análisis de volcado de memoria es la alteración que los mismos producen sobre la memoria, alterando -aunque mínimamente- su contenido, lo que provoca en muchos casos que no sean aceptados como probatorios los resultados.
Para descargarlo debéis rellenar un pequeño formulario aquí
descargar

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s