Post

Adquisición de Evidencias Volátiles

Posted
By Pr0ff3
1 min read
Adquisición de Evidencias Volátiles

Introducción

Esta guía presenta diferentes herramientas y métodos para realizar volcados de memoria RAM en caliente en sistemas Windows y Linux. Se analizarán cuatro herramientas principales, sus características y procedimientos de uso.

Configuración Previa en Windows

¡Importante!

Para realizar volcados de memoria en Windows 10/11 es necesario desactivar la medida de seguridad de aislamiento del núcleo en la configuración de seguridad del dispositivo.

Configuración de seguridad del dispositivo en Windows Configuración de seguridad del dispositivo en Windows

Herramientas Seleccionadas

1. DumpIT (Windows)

Herramienta gratuita para Windows que permite realizar volcados de memoria de forma simple y directa.

🔗 Descargar DumpIT

Interfaz de línea de comandos de DumpIT Interfaz de línea de comandos de DumpIT

Características principales:

  • Ejecución simple con un solo comando
  • Debe ejecutarse como administrador
  • El volcado se realiza en la misma ubicación del ejecutable

2. Belkasoft RAM Capturer (Windows)

Programa gratuito que requiere registro previo para su descarga oficial.

🔗 Descargar Belkasoft RAM Capturer

Interfaz de Belkasoft RAM Capturer Interfaz de Belkasoft RAM Capturer mostrando la selección de ruta

Características principales:

  • Disponible en versiones de 32 y 64 bits
  • Interfaz que permite seleccionar la ruta de destino
  • Proceso de volcado simplificado

3. LiME (Linux)

Proyecto open source para volcado de RAM en sistemas Linux, incluyendo Android.

🔗 Repositorio de LiME

1

git clone https://github.com/504ensicsLabs/LiME.git

Compilación de LiME Proceso de compilación de LiME y archivo resultante

Características principales:

  • Compatible con múltiples distribuciones Linux
  • Soporta volcado remoto mediante netcat
  • Utiliza el kernel de forma directa
  • Soporta formatos raw y lime

4. Microsoft AVML (Linux)

Herramienta desarrollada por Microsoft para volcado de RAM en sistemas Linux.

🔗 Repositorio de AVML

Compilación de AVML Compilación de AVML

Comparación de tamaños AVML Comparación de tamaños de volcado con y sin compresión en AVML

Características principales:

  • Distribuida como binario ejecutable
  • Incluye opciones de compresión
  • No requiere instalación

Conclusiones y Recomendaciones

Para Windows:

DumpIT es la opción recomendada por su mínimo impacto en el sistema y facilidad de uso. No requiere instalación y puede ejecutarse directamente desde un dispositivo externo.

Para Linux:

Aunque LiME es una herramienta muy potente y compatible, AVML puede ser más práctica en muchos casos ya que:

  • No requiere instalación de dependencias
  • Se ejecuta como binario independiente
  • No necesita modificar módulos del kernel
Forense, Herramientas
memoria ram windows linux dumpit belkasoft lime avml
This post is licensed under CC BY 4.0 by the author.