En el post anterior (Belkasoft Forensic Studio Ultimate. Análisis de ficheros de memoria (RAM DUMP, Hiberfil.sys y pagefile.sys) comentaba que una limitación del manejo de volcados de memoria es que no permite exportar los elementos localizados dentro de los archivos, como por ejemplo las imágenes.
Por supuesto no es complicado hacerlo manualmente, especialmente porque lo que sí hace Forensic Studio es documentar la posición de la imagen dentro del archivo.
El procedimiento es realmente sencillo. Lo primero es localizar la imagen que nos interesa usando el navegador de Forensic Studio. Se activa la previsualización y se va recorriendo la lista de imágenes hasta localizar la que nos interesa.
Una vez localizada la imagen, en el visor hexadecimal vemos su contenido. Como se trata de un JPG empieza por 0xFFE0, luego viene la longitud, y por fin la etiqueta «JFIF». Por otra parte, en la pestaña de propiedades se puede consultar la longitud y posición del elemento dentro del archivo (en este caso el pagefile.sys).
Ahora sólo tenemos que abrir el fichero pagefile.sys con nuestro editor hexadecimal preferido (HxD, claro), seleccionar el bloque indicado y guardarlo como imagen con su extensión .jpg y todo.
Ya tenemos la imagen en un archivo preparado para adjuntarlo o insertarlo en nuestro informe pericial.
</ Belkasoft Forensic Studio Ultimate. Reconstruir imágenes desde un volcado de memoria>