Análisis de memoria para detección de malware
La memoria RAM es donde el malware vive cuando se ejecuta. Muchas amenazas modernas operan exclusivamente en memoria (fileless malware), sin dejar artefactos en disco. El análisis forense de memoria permite detectar procesos inyectados, rootkits, credenciales en claro, conexiones de red ocultas y artefactos que ninguna otra técnica forense puede revelar. Esta serie cubre el ciclo completo con Volatility 3 como herramienta principal.
Bloque 1: Fundamentos y adquisición (artículos 1-3) Conceptos de memoria virtual, técnicas de adquisición (WinPmem, LiME, DumpIt), formatos de dumps y verificación de integridad.
Bloque 2: Análisis con Volatility 3 (artículos 4-7) Instalación y configuración, análisis de procesos (pslist, pstree, cmdline), análisis de red (netscan, netstat), y análisis de handles, DLLs y VADs.
Bloque 3: Detección de amenazas (artículos 8-10) Detección de inyección de código (malfind, hollowfind), hunting de rootkits en memoria, y extracción de strings, credenciales y claves de cifrado.
Bloque 4: Escenarios avanzados (artículos 11-12) Análisis de memoria Linux con Volatility 3, y análisis de memoria en entornos virtualizados y cloud (VMware snapshots, Hyper-V, AWS).
Intermedio. Se asume familiaridad con conceptos de sistemas operativos (procesos, memoria virtual, kernel). Cada artículo incluye ejercicios prácticos con dumps de memoria de CTFs y samples controlados.
Introduccion completa al analisis forense de memoria RAM. Por que la evidencia volatil es critica para detectar malware fileless, rootkits y amenazas que no dejan rastro en disco. Conceptos fundamentales de memoria virtual, procesos y artefactos exclusivos de RAM.
Guia practica de adquisicion forense de memoria RAM con WinPmem, DumpIt, LiME, AVML y FTK Imager. Tecnicas de cold boot, formatos de volcado, verificacion de integridad y mejores practicas para preservar evidencia volatil en investigaciones DFIR.
Guia completa de instalacion y configuracion de Volatility 3 para analisis forense de memoria. Tablas de simbolos, plugins esenciales, primer analisis de un volcado de memoria Windows y Linux, y diferencias con Volatility 2.
Analisis forense de procesos en volcados de memoria Windows con Volatility 3. Uso de pslist, pstree, psscan y cmdline para detectar procesos sospechosos, anomalias PPID, procesos ocultos y tecnicas de evasion como PPID spoofing y process masquerading.
Analisis forense de DLLs cargadas y handles en volcados de memoria Windows. Uso de dlllist, ldrmodules y handles en Volatility 3 para detectar DLLs inyectadas, reflective loading, process hollowing y anomalias en modulos cargados.
Analisis de artefactos de red en volcados de memoria con Volatility 3. Plugin netscan para detectar conexiones TCP/UDP, puertos en escucha, comunicaciones C2, pivoting lateral y correlacion de actividad de red con procesos sospechosos.
Uso avanzado del plugin malfind de Volatility 3 para detectar inyeccion de codigo en memoria. Analisis de VADs (Virtual Address Descriptors), permisos PAGE_EXECUTE_READWRITE, shellcode, reflective DLL injection y tecnicas para distinguir verdaderos positivos de falsos positivos.
Analisis del registro de Windows desde volcados de memoria con Volatility 3. Uso de hivelist, printkey y hashdump para extraer claves de persistencia, hashes de contrasenas, historial USB, configuracion de servicios y evidencia de actividad maliciosa.
Tecnicas avanzadas de deteccion de rootkits de kernel en volcados de memoria. Analisis de hooks en SSDT, IDT, callbacks del kernel, DKOM y driver maliciosos con Volatility 3. Familias conocidas y patrones de deteccion.
Analisis forense de memoria en sistemas Linux con Volatility 3. Generacion de perfiles con dwarf2json, analisis de procesos, bash history, conexiones de red, modulos del kernel, deteccion de rootkits Linux y extraccion de artefactos.
Caso de estudio completo de analisis forense de memoria. Walkthrough paso a paso desde la adquisicion de un volcado de un sistema Windows infectado hasta la identificacion de la familia de malware, reconstruccion de la cadena de ataque, extraccion de IOCs y elaboracion del informe final.
Automatizacion del analisis forense de memoria con scripts Python, Volatility 3 como libreria, VolShell interactivo, pipelines CI/CD de analisis automatico, YARA scanning de volcados de memoria e integracion de memory forensics en el workflow SOC.