Entorno de análisis de memoria volátil para estudiantes

Abstract

La informática forense y concretamente el análisis de memoria volátil, se encuentran en su punto álgido debido al enorme número de incidentes tecnológicos que rodean a las grandes empresas, cada vez más necesitadas de profesionales formados en este complejo campo. También ha contribuido el hecho de que el análisis de memoria puede ayudar a otras disciplinas como el análisis de malware. El objetivo de este Trabajo Fin de Máster (TFM) es facilitar el aprendizaje de los nuevos profesionales que se adentran en la informática forense, concretamente en el análisis de memoria volátil. Con este fin, se aporta un enfoque distinto al de las herramientas actuales. Concretamente se ha realiza un análisis de las herramientas actuales, identificando la necesidad actual de contar con una solución enfocada en asentar las bases de conocimiento de usuarios no expertos, sirviéndole de apoyo en su periodo de formación. La herramienta desarrollada, Vol-E basada en Volatility, cuenta con dos modos de uso, permitiendo introducir al usuario (el alumno) en casos de análisis de memoria sin necesidad de conocer complicados comandos o abrumarse por respuestas complejas gracias a su intuitiva interfaz gráfica. Consiste en enlazar el análisis de memoria volátil con un incidente tecnológico conocido, despertando el interés del usuario y facilitando la asimilación de conceptos gracias a la utilización de preguntas cortas sobre el incidente. Por otro lado, la herramienta también permite al alumno realizar un análisis guiado de memoria volátil, dividiendo el análisis en 3 grupos de conocimiento: análisis de procesos, análisis de red y evidencias extraíbles. De esta forma esta herramienta prepara a usuarios que comienzan su formación para que conozca de forma amena los elementos fundamentales en el análisis de memoria.