Excelente video lo tomo como referencia para hacer un volcado de una RAM que me mandaron a analizar con Volatility muy útil.. adicional en algunos vídeos que miro no he comentado pero siempre tienen un like 🙂
Impresionante. Muchas gracias por compartir tus conocimientos. Excelente explicación, clara, fluida, experimentada y detallada. Me has aclarado muchas dudas que me permitirán desarrollar las prácticas mucho mejor. Muchas gracias de nuevo.
Saludos Profe grcias por compartir la informacion, Una pregunta realice un volcado de memoria con FTK imager version 4.2.1.4 me genero un archivo memdump.mem y posteriormente al procesar el archivo con volatiity version 2.6 se queda en el limbo y no me arroja nada y se tarda mucho el archivo es de tamaño de 7gb veo que generó un volcado de memoria tipo raw con que software lo género profe tomando en cuenta que tengo una memoria mayor de 4gb saludos y gracias profe
Hola David, me tope con un error al analizar un archivo binario de un proceso, el error se presenta al buscar con foremost archivos con de encabezado exe y dice "Violacion de segmento ('Core' generado)". Sabes la causa de este error o como solucionarlo?
Muy buen video!! Es bastante didactico y puntual! Tenía una pregunta, que pasa si al momento de realizar el volcado de memoria, el Parent PID del malware ya no estaba en proceso, como o donde podría ubicarlo para llegar al origen de la infección?
holaa! profe, que programa ocupa para hacer el volcado de la memoria, yo intente analizar uno que hice con ftk y no me arrojo resultados, por cierto el archivo que me arrojo ftk tenia la extension .mem, saludos
Muchas gracias por el por el vídeo David, me han ayudado mucho tus explicaciones. Tengo una pregunta, ¿es posible saber con que herramienta se ha hecho el dump de la memoria? Gracias de antemano!
Hola David, tengo una pregunta, por qué solo se extraen los pdfs correspondientes al dump del proceso 1752 si hay más procesos sospechosos? Gracias por el video, un saludo :)
Hola maestro una pregunta yo tengo un ejersicio de memoria volatil me piden que saque un mensaje oculto de un archivo raw ya realize los precesos me da el notepad pero cuando realizo el -d me pide el fichero ya puse lo que tenia a la mano pero me dice que lo asigne no se que hacer , espero me pueda ayudar gracias.
Primero tienes que extraer el contenido del proceso notepad notepad com memdmp y luego puedes usar foremost para extraer los archivos txt que estuvieran abiertos y luego usar strings para ver el contenido de los archivos.
Muchas gracias profesor ya lo obtuve le agradesco su rapido respuesta le agradesco mucho de verdad mil gracias y excelentes videos gracias por compartir su conocmiento.
que diferencia hay entre imagen raw a jpg ya realze los pasos y obtuve el dmp, pero la practica dice .Se sabe que el ciberdelincuente estaba intentado descargarse archivos mediante una herramienta de certificación. Encuentra el nombre del archivo descargado.
Herramienta de certificación? Tienes idea del nombre de la herramienta?; podrías mirar el timestamp de los archivos para ver los últimos archivos creados o modificados.
Buenos días ingeniero David, como siempre muchas gracias por compartir tu información, tengo una pregunta adicional, estoy analizando un volcado de memoria y estoy observando que, como el procesador tiene 8 nucleos, por cada nucleo existe un KPCR, mi pregunta es: Qué sucede si cuando ejecuto cualquier comando NO coloco el --KPCR? podría obtener la información de todos los núcleos?
Me encanta tu pregunta!! asi es; el KPCR lo usas cuando requieres mayor precisión es decir direccion y CPU específicos, de lo contrario no lo requieres. Saludos!!.
sSigue con tus videos además de tu explicación eres muy elocuente. Perfecto habilidades que uno debe tener para enseñar
Excelente video lo tomo como referencia para hacer un volcado de una RAM que me mandaron a analizar con Volatility muy útil.. adicional en algunos vídeos que miro no he comentado pero siempre tienen un like 🙂
Impresionante. Muchas gracias por compartir tus conocimientos. Excelente explicación, clara, fluida, experimentada y detallada. Me has aclarado muchas dudas que me permitirán desarrollar las prácticas mucho mejor. Muchas gracias de nuevo.
Realmente muy nutritivo. Sigo con el cap 2.
Gracias David.... Como siempre el mejor contenido en tu canal
Pero que buen video!, muchas gracias por compartir tus conocimientos forenses!
Muchas gracias. Apenas estoy iniciando en el computo forense. Saludos.
Muy interesante, muchas gracias por compartir
no entendi tu video pero lo que te di a entender es que puede almacenar virus en la ram nuevo sub
Muy didactico, interesante y practico. Muchas gracias.
Cordial saludo como siempre tus vídeos geniales los mejores, si haces un vídeo de como hacer toda la recolección de evidencias genial te agradezco.
Vale, es una muy buena sugerencia; lo haremos!!
Sencillamente ex-tra-or-di-na-rio !!
Saludos Profe grcias por compartir la informacion, Una pregunta realice un volcado de memoria con FTK imager version 4.2.1.4 me genero un archivo memdump.mem y posteriormente al procesar el archivo con volatiity version 2.6 se queda en el limbo y no me arroja nada y se tarda mucho el archivo es de tamaño de 7gb veo que generó un volcado de memoria tipo raw con que software lo género profe tomando en cuenta que tengo una memoria mayor de 4gb saludos y gracias profe
Excelente video, muchas gracias!
Hola!! Muchisimas gracias! Donde puedo conseguir el reto.img?
Muchas Gracias Profe. Excelente explicacion
Muy buen contenido, me subscribo!
Olger Torres muchas gracias!!!
Hola David, me tope con un error al analizar un archivo binario de un proceso, el error se presenta al buscar con foremost archivos con de encabezado exe y dice "Violacion de segmento ('Core' generado)". Sabes la causa de este error o como solucionarlo?
Muy buen video!! Es bastante didactico y puntual!
Tenía una pregunta, que pasa si al momento de realizar el volcado de memoria, el Parent PID del malware ya no estaba en proceso, como o donde podría ubicarlo para llegar al origen de la infección?
holaa! profe, que programa ocupa para hacer el volcado de la memoria, yo intente analizar uno que hice con ftk y no me arrojo resultados, por cierto el archivo que me arrojo ftk tenia la extension .mem, saludos
Muchas gracias por el por el vídeo David, me han ayudado mucho tus explicaciones. Tengo una pregunta, ¿es posible saber con que herramienta se ha hecho el dump de la memoria? Gracias de antemano!
Una consulta compañero, porque cuando me instalo volatility el fichero module.dwarf no aparece¿?
Gracias
Saludos
Profe buenas noches, muchas gracias por el video, muy interesante. Quisiera preguntarte el volatility que tipo de archivos de volcado de memoria lee?
Sebastian Maldonado; gracias por tu comentario; todo tipo de volcado;
Hola David, tengo una pregunta, por qué solo se extraen los pdfs correspondientes al dump del proceso 1752 si hay más procesos sospechosos? Gracias por el video, un saludo :)
Para este ejercicio se sospechaba de un archivo pdf como vector de infección; pero con la herramienta foremost puedes extraer todo tipo de archivos.
@@DavidPereira Muchas gracias!
Genial, muchas gracias.
0:30 - porque lo dicen?
Hola maestro una pregunta yo tengo un ejersicio de memoria volatil me piden que saque un mensaje oculto de un archivo raw ya realize los precesos me da el notepad pero cuando realizo el -d me pide el fichero ya puse lo que tenia a la mano pero me dice que lo asigne no se que hacer , espero me pueda ayudar gracias.
Primero tienes que extraer el contenido del proceso notepad notepad com memdmp y luego puedes usar foremost para extraer los archivos txt que estuvieran abiertos y luego usar strings para ver el contenido de los archivos.
Muchas gracias profesor ya lo obtuve le agradesco su rapido respuesta le agradesco mucho de verdad mil gracias y excelentes videos gracias por compartir su conocmiento.
que diferencia hay entre imagen raw a jpg ya realze los pasos y obtuve el dmp, pero la practica dice .Se sabe que el ciberdelincuente estaba intentado descargarse archivos mediante una herramienta de certificación. Encuentra el nombre del archivo descargado.
Herramienta de certificación? Tienes idea del nombre de la herramienta?; podrías mirar el timestamp de los archivos para ver los últimos archivos creados o modificados.
@@DavidPereira le puedo mandar una foto si gusta
@@DavidPereira La verdad no dice que tipo de certificado
Me da cannot find nt! ObGetObjectType
Abra forma que le pueda mandar las capturas de pantalla
Buenos días ingeniero David, como siempre muchas gracias por compartir tu información, tengo una pregunta adicional, estoy analizando un volcado de memoria y estoy observando que, como el procesador tiene 8 nucleos, por cada nucleo existe un KPCR, mi pregunta es: Qué sucede si cuando ejecuto cualquier comando NO coloco el --KPCR? podría obtener la información de todos los núcleos?
Me encanta tu pregunta!! asi es; el KPCR lo usas cuando requieres mayor precisión es decir direccion y CPU específicos, de lo contrario no lo requieres. Saludos!!.
Hola amigo, podrias subir las imagenes para hacer las pruebas? Mil gracias
Excelente video, podrias hacer uno actualizado, y dejando links de donde descargas software gratuito para los analisis forenses en la actualidad.
Quiero saber como se usa long2timeline, :c
No entiendo