¿Qué es un ejemplo práctico de cómo se puede conservar la información volátil en una investigación forense digital?

  

¿No tendría que apagar el sistema (o reiniciar) para recopilar una imagen?

No, puedes usar una herramienta de captura de memoria validada para recopilar la evidencia volátil en la RAM.

  

Si es así, ¿no perdería una gran cantidad de información volátil (por ejemplo, procesos en ejecución, memoria, etc.)?

Tal vez, es muy difícil de decir. La investigación en la Universidad de Princeton ha demostrado que RAM se desvanece en lugar de desaparecer. Enfriamiento permite a los examinadores más tiempo para recopilar los datos volátiles. Hay algunas otras preocupaciones con el cierre del enchufe:

1. Encriptación. Apagar la máquina podría encriptar los archivos que no están encriptados mientras la máquina está funcionando, lo que significa una pérdida de evidencia.
2. Datos dañados. Apagar la máquina podría hacer que los datos sean ilegibles.
3. Pruebas no registradas. Es posible que las pruebas no se registren a menos que la máquina se apague correctamente.

  

Desde una perspectiva práctica, ¿cómo se pueden conservar las pruebas volátiles?

Debes tomar una serie de pasos:

1. Una vez que comience, asegúrese de trabajar sin interrupciones, de lo contrario, invitará a cometer errores.
2. Reúna sus materiales: formularios de informe, bolígrafos, herramientas de captura de memoria, etc.
3. Si necesita presionar una tecla para activar la máquina, documéntela.
4. Anote la fecha y la hora como aparecen en la computadora.
5. Registre los iconos visibles y las aplicaciones en ejecución, y documente los procesos en ejecución. Esto podría ayudar a identificar el malware. Puede acceder a esta información a través del administrador de tareas.
6. Use una herramienta de captura de memoria validada para recopilar la evidencia volátil en la RAM.
7. Apague la máquina correctamente para permitir que cualquier aplicación en ejecución tenga la oportunidad de escribir cualquier artefacto en el escritorio, lo que le permitirá recuperarlos más tarde.

Puede obtener más información sobre este proceso en Los conceptos básicos de la medicina forense digital: La información básica para comenzar en la técnica forense digital por John Sammons.

Cerrar el sistema está más cerca del final del proceso de recopilación.

La captura de datos volatile implica la captura de los siguientes elementos: Memory dump/core dump, Network connections & traffic, Process list

Una vez que haya esos datos, puede pasar a una inmersión más profunda sobre la causa raíz y qué fue manipulado. A menudo, esto implica cambiar los niveles de ejecución, vaciar / clonar el (los) disco (s) y luego seleccionar metódicamente los segmentos de memoria de un volcado del núcleo y procesar la memoria para encontrar archivos binarios modificados o incluso un proceso modificado que se ejecuta en la memoria.

Otro enfoque avanzado es el compromiso de firmware que conduce a una amenaza persistente avanzada. Aunque es menos probable, el uso de un editor jtag para extraer el firmware actual de un sistema es uno de los únicos métodos para garantizar una buena evidencia que genere una instantánea de un compromiso de hardware.