Cada programa que se esta ejecutando en un ordenador se carga a una memoria que se denomina memoria principal. Es una memoria de acceso aleatorio (del inglés Random Acces Memory, RAM) lo que quiere decir que se puede acceder a cada información sin tener que pasar por otra. En los ordenadores que vemos en las tiendas suele estar indicada la capacidad de las memorias principales con por ejemplo “8 Gb de RAM”. Cuanto más grandes estas memorias mas programas podemos ejecutar a la vez.
Estas memorias son muy rápidas pero tienen un gran inconveniente, son volátiles. Esto quiere decir que en cuanto no tengan alimentación eléctrica se pierde todo lo que estaba guardado en ellas. Y no podemos recuperar esta información. Por ello, cada vez que apagamos el ordenador, al encenderlo tiene que volver a cargar todos los programas. Esto incluye el propio sistema operativo.
Pero como dijimos en el primer párrafo, se guardan todos los procesos en esta memoria, por lo tanto, en una investigación informática puede ser de altísimo valor. Podemos encontrar la siguiente información guardada en la memoria principal:
– Programas y procesos activos
– Conexiones IP abiertas
– Puertos en sus diferentes estados
– Procesos asociados a puertos
– Árbol de procesos
– Ruta de origen de un programas
– Ubicación física en el dispositivo de memoria de cada programa y proceso
– etc
Podemos ver que estos datos son muy importantes en múltiples investigaciones. Por ejemplo, en la búsqueda de programas espía. Podemos engañar al sistema operativo, a la interfaz o al antivirus pero no podemos engañar a la memoria principal. Por que si esta ejecutándose tiene que estar cargada en la memoria principal.
Entonces tenemos una fuente de información que se pierde en cuanto apagamos el ordenador para llevarlo a nuestro laboratorio. ¿Que hacemos?
Tenemos que tomar una decisión importante que es: ¿merece la pena contaminar la evidencia para obtener la información de la memoria principal? Si buscamos solo unas fotos en un ordenador no nos interesa esta información. Pero si queremos demostrar que alguien esta realizando un ataque informático o distribuyendo material prohibido si que nos interesa.
En consecuencia, si el contenido es de interés para nuestra investigación debemos de realizar un volcado de la memoria RAM. Para ello recurrimos a herramientas como FTK o DumpIT.
Antes de realizarlo apuntaremos exactamente que dispositivo de almacenamiento hemos conectado al equipo informático, a que hora, en que puerto y en el mejor de los casos el número de serie. Para dejar constancia del alcance de nuestra intervención.
Habiendo hecho el volcado de la memoria principal ya podemos apagar tranquilamente el ordenador y sentarnos en nuestro laboratorio para empezar a inspeccionar la memoria RAM.
