Hola
Un tip muy util y que demuestra la importancia que cobra un volcado de la memoria fisica y el analisis del mismo.
Lo primero, disponer de python, facil en Linux (casi seguro viene instalado por defecto) y tambien facil en Windows mediante ActivePython o directamente los binarios para Windows.
Mejor instalar la version 2.6 dada la disponibilidad de una de las librerias necesarias para el proceso.
Una vez instalado python y desempaquetado volatilityen el sistema donde realizaremos el analisis necesitaremos un volcado de la memoria a analizar, el cual podemos obtener, por ejemplo, con mdd o win32dd.
Ahora instalaremos los plugins para el analisis de los rastros del registro de Windows en memoria. Mas informacion sobre su instalacion disponible aqui.
Para que los plugins anteriores funcionen correctamente necesitaremos PyCrypto. Podemos descargar los binarios precompilados para Windows desde aqui.
Y con todo el arsenal preparado solo nos resta seguir las instrucciones proporcionadas en el siguiente tip, publicado en el blog de ForensicZone.
Saludos