Forensic analysis

Is a branch of forensic science encompassing the recovery and investigation of material found in digital devices, often in relation to computer crime. The aim is to discover and analyse patterns of fraudulent activities

Crear un fichero de volcado de memoria de un proceso y detectar DLL

Ver módulos que carga el proceso notepad

Buscar el módulo DLL en el fichero de volcado

Realizar un volcado de memoria de un proceso cuando se empieza a ejecutar

En el siguiente ejemplo vemos que se ha realizado el volcado Buscamos la cadena “caracola” en el fichero de volcado de esa forma confirmamos que se ha realizado correctamente la acción del volcado en cuanto se ejecutó el programa notepad

Crear un fichero de volcado de memoria de un proceso y buscar una cadena

Buscar cadena en el fichero de volcado

lnkanalyser

Info Windows shortcut (LNK) files hold a wealth of useful information for forensic investigators. There are a number of LNK file parsers out there, and most are ok, some are incorrect and some just don’t get enough information extracted e.g. UUID parsing. Microsoft have now released the binary file format (see below) which makes it a lot easier to get things right. Another key source of information I have used is Harry Parsonage’s The Meaning of Life presentation/research. The research explains some of the more obscure information stored in LNK files, such as being able to detect whether a file […]