{"id":2032,"date":"2025-06-13T17:52:41","date_gmt":"2025-06-13T15:52:41","guid":{"rendered":"https:\/\/www.elvigilantedigital.com\/?p=2032"},"modified":"2025-06-13T19:06:29","modified_gmt":"2025-06-13T17:06:29","slug":"novedades-en-github-memprocfs-para-analisis-forense-de-ram","status":"publish","type":"post","link":"https:\/\/www.elvigilantedigital.com\/en\/2025\/06\/13\/novedades-en-github-memprocfs-para-analisis-forense-de-ram\/","title":{"rendered":"News on GitHub: MemProcFS for RAM forensics"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"2032\" class=\"elementor elementor-2032\">\n\t\t\t\t<div class=\"elementor-element elementor-element-650bdfc5 e-flex e-con-boxed e-con e-parent\" data-id=\"650bdfc5\" data-element_type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-415ba1e2 elementor-widget elementor-widget-text-editor\" data-id=\"415ba1e2\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p><strong>MemProcFS<\/strong> (Memory Process File System) es una herramienta open source dise\u00f1ada para facilitar el an\u00e1lisis forense de memoria RAM en sistemas Windows. Creado por Ulf Frisk, es especialmente \u00fatil en contextos de respuesta ante incidentes, malware analysis o investigaciones post-mortem.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Lo que lo hace destacar frente a otras herramientas es que <strong>monta la memoria volcada como un sistema de archivos virtual<\/strong>, permitiendo a los analistas navegarla como si fuera un disco m\u00e1s.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>\ud83d\udd17 <a href=\"https:\/\/github.com\/ufrisk\/MemProcFS\">Repositorio oficial en GitHub<\/a><\/p>\n<div>\n<div>\n<p><!-- \/wp:list --><\/p>\n<\/div>\n<p><!-- \/wp:column --><\/p>\n<\/div>\n<p><!-- \/wp:columns --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3>Funcionalidades destacadas<\/h3>\n<ul class=\"bnq-post-list\">\n<li>Soporte para lectura de estructuras internas: procesos, m\u00f3dulos, drivers, etc.<\/li>\n<li>Compatible con dumps en vivo o volcados (.raw, .bin)<\/li>\n<li>Interfaz para scripts externos, compatible con Python<\/li>\n<li>Soporte para volcado con PCILeech (del mismo autor)<\/li>\n<\/ul>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Esto lo convierte en una herramienta ideal tanto para <strong>formaci\u00f3n en an\u00e1lisis forense<\/strong> como para <strong>equipos de blue team<\/strong> en entornos corporativos.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3>\u00bfC\u00f3mo se usa?<\/h3>\n<ol>\n<li><strong style=\"font-size: medium;\">Volcado de memoria<br \/><\/strong>Puedes obtenerlo con herramientas como <code>DumpIt<\/code>, <code>WinPMEM<\/code> o <code>FTK Imager<\/code>.<\/li>\n<li><strong>Montaje de la memoria RAM:<br \/><\/strong>\n<pre><code>MemProcFS.exe -v -device your_memory_dump.raw<\/code><\/pre>\n<\/li>\n<li><code><\/code><strong>Explorar la estructura montada<br \/><\/strong>Una vez montada, puedes navegar por directorios como:<br \/>\n<pre><code>\/proc\/<\/code><br \/><code>\/modules\/<br \/><\/code><code>\/handles\/<br \/><\/code><code>\/threads\/<br \/><\/code><code>\/sockets\/<\/code><\/pre>\nCada uno representa partes internas de los procesos activos al momento del volcado.<\/li>\n<li>\n<p><strong>Analysis<br \/><\/strong>Usa <code>grep<\/code>, <code>strings<\/code>, o scripts personalizados para detectar c\u00f3digo malicioso, DLLs inyectadas, conexiones sospechosas, etc.<\/p>\n<\/li>\n<\/ol>\n<h3 data-start=\"1975\" data-end=\"2007\">\u00bfQu\u00e9 novedades trae en 2025?<\/h3>\n<p data-start=\"2009\" data-end=\"2064\">A principios de este a\u00f1o, se han a\u00f1adido mejoras clave:<\/p>\n<ul data-start=\"2066\" data-end=\"2348\">\n<li data-start=\"2066\" data-end=\"2117\">\n<p data-start=\"2068\" data-end=\"2117\">\ud83c\udd95 <strong data-start=\"2071\" data-end=\"2117\">Mejor soporte para dumps UEFI y Windows 11<\/strong><\/p>\n<\/li>\n<li data-start=\"2118\" data-end=\"2176\">\n<p data-start=\"2120\" data-end=\"2176\">\ud83c\udd95 <strong data-start=\"2123\" data-end=\"2176\">Exportaci\u00f3n autom\u00e1tica de estructuras de procesos<\/strong><\/p>\n<\/li>\n<li data-start=\"2177\" data-end=\"2234\">\n<p data-start=\"2179\" data-end=\"2234\">\ud83c\udd95 <strong data-start=\"2182\" data-end=\"2234\">Compatibilidad extendida con arquitecturas ARM64<\/strong><\/p>\n<\/li>\n<li data-start=\"2235\" data-end=\"2281\">\n<p data-start=\"2237\" data-end=\"2281\">\ud83c\udd95 <strong data-start=\"2240\" data-end=\"2281\">Nuevos m\u00f3dulos de an\u00e1lisis integrados<\/strong><\/p>\n<\/li>\n<li data-start=\"2282\" data-end=\"2348\">\n<p data-start=\"2284\" data-end=\"2348\">\ud83d\udc1b Correcci\u00f3n de fallos en compatibilidad con vol\u00famenes cifrados<\/p>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- wp:list-item --><\/p>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>MemProcFS (Memory Process File System) es una herramienta open source dise\u00f1ada para facilitar el an\u00e1lisis forense de memoria RAM en sistemas Windows. Creado por Ulf Frisk, es especialmente \u00fatil en contextos de respuesta ante incidentes, malware analysis o investigaciones post-mortem. Lo que lo hace destacar frente a otras herramientas es que monta la memoria volcada [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":2033,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[57,56],"tags":[72,64,67,70,69,65,71,68,63,66],"class_list":["post-2032","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-analisis","category-herramientas","tag-analisis-de-memoria-ram","tag-analisis-forense","tag-ciberseguridad-windows","tag-dump-de-memoria","tag-github-herramientas","tag-herramientas-open-source","tag-investigacion-digital","tag-malware-analysis","tag-memprocfs","tag-ram"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/comments?post=2032"}],"version-history":[{"count":4,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2032\/revisions"}],"predecessor-version":[{"id":2037,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/posts\/2032\/revisions\/2037"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/media\/2033"}],"wp:attachment":[{"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/media?parent=2032"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/categories?post=2032"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elvigilantedigital.com\/en\/wp-json\/wp\/v2\/tags?post=2032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}