INFORMÁTICA FORENSE: ANÁLISIS DE MEMORIA RAM CON

VOLATILITY FRAMEWORK

Cordial saludo estimado(a),

DSTEAM Seguridad Informática te da la bienvenida al taller tipo WorkShop, modalidad

estudio virtual, descrito como:

INFORMÁTICA FORENSE: ANÁLISIS DE MEMORIA RAM CON VOLATILITY

FRAMEWORK

En este taller con altos contenidos prácticos, se enfocara en el estudio y aprendizaje de

la técnica de análisis forense de evidencias (Memoria RAM) usando la
herramienta VOLATILITY FRAMEWORK. A continuación los videos que componen este
curso.
Condiciones bajo las cuales se oferta es curso:

--Videos Quedan disponibles de forma 100% gratuita hasta el 6 de Noviembre de 2018

--Los videos no es posible descargarlos, solo se pueden desplegar-estudiar desde la

plataforma Streaming-Vimeo FULL-HD

--Los videos no tienen ningún tipo de soporte técnico, se deben de estudiar de forma
autodidacta.
Video 1: Análisis forense de Memoria RAM- Conceptos Base: En este video
obtendrás una introducción al curso de Análisis forense de memoria RAM con volatility
Framework, donde se darán las pautas para iniciar el curso virtual, con conceptos base
tales como: Ciclo del Análisis forense, que es el DUMP de memoria RAM, criterios a
tener presente para la extracción y análisis de memoria RAM, entre otros.

Video 2: Herramientas (tools) Dump y Análisis forense de Memoria RAM: En este

video obtendrás información al respecto de la descarga, despliegue y uso de las
herramientas más usadas para extracción (Dump) y análisis Forense de Memoria RAM,
tales como FTK Imager y Volatility Framework.

Video 3: DEMO práctico: Dump de Memoria RAM con FTK IMAGER: En este video
realiza una demostración 100% práctica de una extracción (DUMP) de la memoria
RAM de un servidor Windows Server que ha sido previamente atacado.

Video 4: DEMO práctico-Comandos Volatility Framework nivel perfiles: En este

video realiza una demostración 100% práctica de comandos volatility framework,
iniciando con los comandos de validaciones de imágenes forenses y-o perfiles de DUMP
de memoria RAM.

Video 5: DEMO práctico-Comandos Volatility Framework nivel Procesos parte 1: En

este video realiza una demostración 100% práctica de comandos volatility framework a
nivel de procesos, donde se usaran los comandos: pslist, pstree, psscan, psxview,
privs y consoles. Comandos importantes para la identificación de procesos maliciosos
que se han invadidos y-o infectado en un sistema informático.
Video 6: DEMO práctico-Comandos Volatility Framework nivel Procesos parte 2: En
este video realiza una demostración 100% práctica de comandos volatility framework a
nivel de procesos, donde se usaran los comandos: cmdscan, consoles, handles y
cmdline. Comandos importantes para la identificación de procesos maliciosos que se
han invadidos y-o infectados en un sistema informático, como un servidor Windows por
ejemplo.

Video 7: DEMO práctico-Comandos Volatility Framework nivel redes

(Networking): En este video se realiza una demostración 100% práctica de comandos
volatility framework a nivel de Redes, donde se usaran los comandos: netscan, sockets,
connectionsconns, connscan. Comandos importantes para la identificación de
direcciones IP y puertos TCP pertenecientes a conexiones maliciosas y que están
relacionados con procesos maliciosos que se han invadidos y-o infectados en un sistema
informático, como un servidor Windows por ejemplo.

Video 8: DEMO práctico-Comandos Volatility Framework nivel DLLs y DUMP

archivos: En este video se realiza una demostración 100% práctica de comandos
volatility framework a nivel de dlls y extracción de archivos del dump de memoria RAM,
donde se usaran los comandos: procdump, dlllist, dlldump, getsids. Comandos
importantes para extraer del dump de memoria RAM archivos ejecutables y dlls
relacionadas con procesos maliciosos, para posteriormente cargarlas a la
url virustotal.com, y analizar los resultados, y así validar si en efecto son dlls y-o
archivos ejecutables que contienen malware.
Video 9: DEMO práctico-Comandos Volatility Framework nivel Registro Windows y
extracción de Hashes: En este video se realiza una demostración 100% práctica de
comandos volatility framework a nivel del registro de Windows y extracción de hashes de
contraseñas de Windows desde el Dump de RAM, donde se usaran los
comandos: hashdump, hivelist, hivescan. Comandos importantes para extraer del
dump de memoria RAM información de usuarios, de contraseñas en formato Hash, y
además de temas y procesos relacionados con el rol del registro de Windows respecto
con el dump de memoria RAM.

Parte 10: Taller y-o Práctica de laboratorio propuesta para resolver por parte de
los estudiantes: Este taller será publicado el día 24 de Octubre-2018,junto con el
respectivo video solucionario y los links a las herramientas y archivos necesarios para
la realización del taller.

Videos complementarios y-o de Apoyo.

Video de Apoyo 1: DEMO Ataque Informático analizado con la herramienta
Volatility Framework: En este video realiza una demostración 100% práctica del ataque
informático realizado al Servidor Windows 2008 server Datacenter Edition. Este video
sirve como metodología de aprendizaje, e insumo bibliográfico para que los estudiantes
validen si los resultados del análisis de la memoria RAM con la Herramienta Volatility
framework son acordes a los ataques realizados por el agresor informático. (Video de
ataque informático del cual surgió el dump de memoria RAM
llamado:memdump2018winsvr.mem)