Quando si parla di digital forensics e incident response, uno degli errori più comuni è sottovalutare il valore delle evidenze volatili. Su sistemi Windows, la sorgente volatile per eccellenza è la memoria RAM: processi in esecuzione, credenziali in memoria, connessioni attive, contenuti decrittati, iniezioni di codice, shell e payload fileless. Tutto ciò che sta “girando” nel sistema scompare al riavvio o alla chiusura del processo.
È qui che entra in gioco la live acquisition, ovvero l’acquisizione delle evidenze a sistema acceso, con l’obiettivo di preservare informazioni che non verranno mai scritte su disco.
Se lavori in ambito Blue Team, SOC o Incident Response, capire quando e come fare live acquisition della RAM su Windows non è un’opzione: è una competenza operativa.
Perché acquisire la RAM (e quando farlo): guida pratica per Blue Team
L’acquisizione della memoria RAM è una delle competenze più critiche per chi lavora nella difesa informatica. Quando un attacco è in corso o sospetti un’intrusione, la RAM contiene informazioni vitali che possono svanire in pochi secondi: processi malevoli in esecuzione, credenziali rubate, connessioni di rete attive e payload decifrati che non troverai mai sul disco.
In questo articolo viene spiegato quando e come eseguire una live acquisition della RAM su Windows, quali strumenti utilizzare e come farlo nel modo più forensic-friendly possibile, preservando le prove per l’analisi successiva.
La live acquisition nasce proprio per questa esigenza: raccogliere evidenze a sistema acceso, cercando di preservare il più possibile integrità e tracciabilità dell’azione.
Quando è il momento giusto per acquisire la RAM in live acquisition
L’acquisizione RAM non è un’operazione da fare “per curiosità”: è un intervento mirato che richiede preparazione e metodo. Ecco i casi in cui la live acquisition della memoria diventa fondamentale.
Malware fileless o attacchi “living off the land”
Attacchi moderni utilizzano strumenti legittimi di Windows – PowerShell, WMI, rundll32, certutil – per muoversi nel sistema senza lasciare file malevoli su disco. La memoria è quindi l’unico posto dove catturare comandi, script e attività sospette.
Credenziali compromesse in memoria
Token di autenticazione, sessioni attive, hash NTLM e ticket Kerberos vivono in RAM. Se sospetti movimento laterale o credential dumping, la RAM è la tua migliore alleata per capire cosa è stato rubato.
Process injection e tecniche evasive
DLL injection, reflective loading e process hollowing permettono al malware di nascondersi in processi legittimi. Queste tecniche non scrivono su disco: la live acquisition della RAM è l’unico modo per osservarle.
Connessioni di rete attive e comunicazioni C2
Vuoi vedere le connessioni di rete attive in quel preciso momento? La RAM mostra socket aperti, IP, porte e processi associati, anche se l’attaccante chiude tutto subito dopo.
Payload cifrati su disco ma decifrati in memoria
Molti malware moderni vengono cifrati o offuscati. Il codice reale viene decifrato solo in memoria: una live acquisition eseguita al momento giusto può estrarre il payload “pulito”.
Sistema instabile o rischio di cancellazione tracce
Se il sistema sta per essere spento o riavviato, o se sospetti che l’attaccante stia cancellando le tracce, la RAM è la prima evidenza da mettere in sicurezza. Una volta persa, è irrecuperabile.
I concetti chiave della Memory Forensics
Prima di parlare di strumenti e procedure, è importante capire cosa contiene un dump di RAM. La memoria non è solo un contenitore casuale di byte: contiene artefatti strutturati che raccontano la storia di ciò che sta accadendo sul sistema.
Processi Windows: l’anatomia dell’attività di sistema
Ogni processo ha:
- PID (Process ID)
- PPID (Parent Process ID)
- Nome eseguibile
- Timestamp di avvio
Questa tabella è fondamentale per identificare anomalie:
- processi di sistema avviati da directory utente
- parent-child relationship sospette (es. cmd.exe → PowerShell → Mimikatz)
- processi con nomi leggermente modificati per sembrare legittimi
Non basta guardare il nome: verifica percorso, processo padre e parametri di lancio. Molti malware imitano processi legittimi o si iniettano in processi fidati.
Connessioni di rete: tracce di comunicazione in tempo reale
Un dump RAM cattura le connessioni TCP e UDP attive:
- indirizzo IP di origine e porta locale
- indirizzo IP di destinazione e porta remota
- stato della connessione
- processo associato
Questo permette di identificare comunicazioni con server C2, beacon periodici, reverse shell o data exfiltration. A differenza dei log, la RAM mostra cosa sta accadendo in quel momento.
Dati sensibili: il tesoro nascosto in memoria
La memoria RAM può contenere:
- password in chiaro
- token di sessione
- hash NTLM
- ticket Kerberos
- chiavi di cifratura, certificati privati, token API
Strumenti come Mimikatz sfruttano proprio questo. Quando fai memory forensics, cerchi questi artefatti per capire cosa è stato compromesso.
Iniezioni di codice: quando il malware si nasconde
Processi come explorer.exe o svchost.exe possono contenere codice malevolo iniettato.
L’analisi individua:
- regioni di memoria con permessi sospetti
- sezioni di codice estranee ai moduli legittimi
- anomalie nella catena di caricamento DLL
Tecniche come process hollowing o reflective DLL injection emergono solo tramite live acquisition.
Live Acquisition: le regole d’oro
Acquisire la RAM significa inevitabilmente modificare il sistema. L’obiettivo è minimizzare l’impatto e documentare tutto.
Ecco la checklist operativa da seguire sempre.
- Documenta lo stato iniziale del sistema
Prima di toccare qualsiasi cosa, annota ora esatta, utente loggato, hostname, indirizzo IP e contesto dell’incidente. Se hai ricevuto un alert dall’EDR, una segnalazione dall’utente o un trigger dal SIEM, documentalo. Fai uno screenshot se necessario. Questo diventerà parte integrante del tuo report investigativo.
- Prepara un supporto esterno dedicato
Usa una USB forense con i tool già pronti e una cartella di output preconfigurata. Mai installare software durante un’acquisizione live: ogni installazione lascia tracce nel registro, crea file temporanei, modifica la memoria. Ogni azione altera lo stato del sistema. Il tuo obiettivo è toccare il meno possibile.
- Salva sempre su disco esterno o share di rete
Un dump RAM può pesare quanto la RAM fisica del sistema. Se il server ha 32GB di RAM, ti serviranno almeno 32GB di spazio libero, meglio se di più per sicurezza. Assicurati che il percorso di destinazione sia accessibile, che ci sia spazio sufficiente e che la scrittura sia rapida. Salvare su un disco locale del sistema compromesso è l’ultima opzione, da evitare quando possibile.
- Riduci il rumore operativo
Non aprire browser, non avviare task manager, non eseguire altri tool inutili. Ogni clic modifica la memoria e introduce artefatti che potrebbero compromettere l’analisi. Limita le tue azioni all’essenziale: esegui il tool di acquisizione, salva il dump, calcola l’hash, documenta. Fine.
- Genera hash e documenta tutto
Calcola immediatamente l’hash SHA256 del dump acquisito e salvalo in un report. Questo garantisce l’integrità della prova. Conserva i log di esecuzione, i comandi eseguiti, i percorsi utilizzati, l’account con cui hai operato. In un contesto forense o legale, questa documentazione può fare la differenza tra una prova ammissibile e una contestabile.
Strumenti per la live acquisition su Windows
In questo articolo vediamo tre strumenti semplici e molto usati per acquisire la RAM su Windows:
- Volatility
- Belkasoft Live RAM Capturer
- FTK Imager Lite (Capture Memory)
Volatility con plugin di acquisizione: analisi e acquisizione integrate
Volatility è molto più di un semplice framework di analisi: nelle versioni più recenti include anche capacità di acquisizione memoria tramite plugin specifici. Questo lo rende uno strumento particolarmente interessante per chi vuole un workflow integrato dove acquisizione e analisi possono avvenire nello stesso ambiente.
I suoi punti di forza sono evidenti quando operi in contesti dove vuoi massima flessibilità. Puoi acquisire la memoria e immediatamente iniziare l’analisi preliminare senza dover cambiare tool o convertire formati. Volatility supporta molteplici formati di output e può essere scriptato per automatizzare workflow complessi. La community è vastissima e trovi plugin per praticamente ogni scenario di analisi forense.
L’approccio è più tecnico rispetto ad altri tool: Volatility è pensato per analisti che sanno cosa stanno cercando e hanno familiarità con la command line. La curva di apprendimento può essere ripida all’inizio, ma una volta che padroneggi il framework hai tra le mani uno strumento estremamente potente. Puoi costruire script personalizzati, automatizzare l’estrazione di artefatti specifici, integrare Volatility in pipeline di incident response automatizzate.
Devi però essere consapevole che per l’acquisizione pura, Volatility può essere eccessivo se hai solo bisogno di un dump rapido. Inoltre, alcune funzionalità di acquisizione richiedono permessi elevati o driver specifici, e su sistemi molto hardened potrebbero esserci limitazioni. La documentazione è abbondante ma dispersa, quindi serve tempo per orientarsi tra le varie versioni e plugin disponibili.
Quando dovresti sceglierlo? Quando vuoi un approccio integrato dove acquisizione e analisi fanno parte dello stesso workflow, quando hai bisogno di massima flessibilità e personalizzazione, quando operi in contesti dove l’automazione e lo scripting sono importanti. Volatility è la scelta naturale per team maturi che vogliono costruire capability di memory forensics avanzate e riproducibili.
Belkasoft Live RAM Capturer: veloce e minimalista per emergenze
Belkasoft Live RAM Capturer è un tool gratuito e leggerissimo, nato specificamente per situazioni di incident response dove il tempo è critico. È la scelta ideale quando hai l’attaccante ancora attivo nel sistema e devi mettere al sicuro la memoria prima che sia troppo tardi.
Il grande vantaggio è la velocità di utilizzo. Non serve configurare nulla, non serve studiare pagine di documentazione. Lo lanci, selezioni dove salvare e in pochi minuti hai il tuo dump. L’approccio è chiaramente “quick acquisition”: sacrifichi qualche opzione avanzata in cambio di velocità e semplicità operativa. Il footprint del tool è ridottissimo, il che significa meno impatto sul sistema target.
Belkasoft è anche noto per funzionare discretamente bene su sistemi con protezioni attive o meccanismi anti-debug, anche se ovviamente non può fare miracoli su sistemi hardened in modo estremo. Come sempre, la qualità del risultato dipende da permessi, stabilità del sistema e contesto specifico. La cosa fondamentale è documentare esattamente cosa hai fatto, con quali privilegi e su quale sistema.
Quando sceglierlo? Quando sei in piena emergenza, quando hai pochissimo tempo, quando la priorità assoluta è salvare la memoria prima che il sistema si spenga, si riavvii o l’attaccante faccia pulizia.
FTK Imager Lite: interfaccia grafica “user-friendly”
FTK Imager Lite è la versione gratuita e leggera del famoso FTK Imager, uno dei tool più usati in digital forensics. Include la funzione “Capture Memory” accessibile tramite un’interfaccia grafica intuitiva. È la scelta perfetta quando operi in team, quando devi formare analisti junior o quando vuoi standardizzare le procedure aziendali con uno strumento accessibile.
L’interfaccia grafica è il suo punto di forza. Non serve essere esperti di command line, non serve ricordare sintassi o parametri. Apri il programma, clicchi su “Capture Memory”, selezioni dove salvare il dump e il gioco è fatto. Questo rende FTK Imager particolarmente adatto per ambienti dove le competenze tecniche sono eterogenee o dove serve replicabilità delle procedure indipendentemente da chi opera.
Devi però essere consapevole che l’uso di una GUI introduce inevitabilmente più “rumore” operativo rispetto a tool minimali da CLI. Ogni finestra aperta, ogni rendering grafico, ogni interazione con l’interfaccia modifica lo stato della memoria. Non è un problema insormontabile, ma è qualcosa di cui essere consapevoli. Serve comunque rigore nella gestione dei path di output, nel naming dei file, nel calcolo degli hash e nelle note operative.
Quando sceglierlo? Quando vuoi un tool facilmente comprensibile anche da chi è alle prime armi, quando operi in team e hai bisogno di procedure standardizzate facili da seguire, quando la priorità è l’accessibilità e la replicabilità più che l’ottimizzazione tecnica estrema.
Quale strumento dovresti usare? Guida pratica alla scelta
La scelta dello strumento dipende dal contesto operativo e dalle tue esigenze specifiche. Volatility è la scelta giusta se vuoi un approccio integrato dove acquisizione e analisi fanno parte dello stesso workflow, se hai bisogno di automazione e scripting avanzato, se operi in un team maturo che vuole costruire capability di memory forensics personalizzate. Belkasoft RAM Capturer diventa la scelta naturale se sei in incident response attivo, con l’attaccante potenzialmente ancora nel sistema, e devi acquisire la memoria nel minor tempo possibile con impatto minimo. FTK Imager Lite è perfetto se operi in team, se devi formare persone o se vuoi procedure replicabili che possano essere seguite anche da chi ha meno esperienza tecnica.
La cosa davvero importante non è quale tool usi, ma la coerenza del processo complessivo. Il workflow corretto è sempre lo stesso: acquisizione, hashing, catena di custodia, analisi. Senza metodo rigoroso, anche il tool migliore del mondo produce risultati inutilizzabili.
Dopo l’acquisizione: le buone pratiche che fanno la differenza
Acquisire la RAM è solo il primo passo. Quello che fai dopo determina se le prove saranno utilizzabili in analisi forense, in un contesto legale o semplicemente per capire cosa è successo.
- Calcola immediatamente l’hash del dump
La prima cosa da fare, ancora prima di spostare il file da qualche parte, è calcolare l’hash SHA256. Questo valore rappresenta l’impronta digitale univoca del file. Se domani qualcuno contesta l’integrità della prova, puoi ricalcolare l’hash e dimostrare che il file non è stato modificato. Salva l’hash in un report insieme al timestamp e alle informazioni sull’acquisizione. - Sposta il dump su storage sicuro
Non lasciare mai il dump RAM sul sistema compromesso o su una USB temporanea. Copialo immediatamente su storage protetto: idealmente un sistema WORM, un NAS isolato dalla rete principale o un repository con controllo accessi rigoroso e logging di ogni operazione. La catena di custodia inizia dal momento dell’acquisizione e ogni passaggio deve essere tracciato. - Conserva tutta la documentazione operativa
Un dump senza documentazione vale poco. Devi conservare i log di esecuzione del tool se disponibili, le note operative dettagliate con ora esatta, comandi eseguiti, percorso di salvataggio, account utilizzato, hostname del sistema target. Se sei in contesto formale o legale, prepara screenshot o un verbale scritto. Documenta il contesto dell’incidente: cosa ha scatenato l’acquisizione, quali alert hai ricevuto, quali anomalie hai osservato prima di intervenire. - Pianifica l’analisi correlata
Il dump RAM da solo non basta mai. Devi inserirlo in un quadro più ampio. Pianifica la timeline completa dell’incidente correlando il contenuto del dump con i log Windows, con le telemetrie dell’EDR, con gli eventi del SIEM. Valuta se servono altre acquisizioni: un’immagine del disco, log di rete specifici, snapshot di macchine virtuali. L’analisi deve essere mirata: cerca processi sospetti, injection, connessioni di rete anomale, credenziali in memoria, artefatti di persistenza.
Cosa fare dopo: dall’acquisizione all’analisi forense
Hai acquisito la RAM. Ora hai un file da diversi gigabyte sul tuo storage. E adesso? Il dump è solo materia prima grezza. Il valore reale emerge dall’analisi, dalla capacità di estrarre intelligence operativa da quei byte.
L’analisi parte sempre dall’identificazione dei processi attivi al momento dell’acquisizione. Cerchi anomalie nella tabella dei processi: parent-child relationship sospette, processi che partono da directory inusuali, nomi modificati per sembrare legittimi, processi senza immagine su disco. Poi passi all’analisi delle connessioni di rete: quali socket erano aperti, verso quali IP, su quali porte, associati a quali processi. Correli queste informazioni con threat intelligence per identificare connessioni verso infrastrutture malevole note.
La ricerca di credenziali in memoria è uno dei passaggi più critici. Cerchi hash NTLM, password in chiaro, token di sessione, ticket Kerberos. Tutto quello che un attaccante potrebbe aver estratto per muoversi lateralmente nella rete. Poi ti concentri sul rilevamento di process injection e code injection: cerchi regioni di memoria sospette, DLL caricate in modo anomalo, discrepanze tra immagine su disco e contenuto in memoria.
Infine, estrai artefatti di malware: payload decifrati, configurazioni di bot, indirizzi di server Command and Control, chiavi di cifratura, artifact di persistenza. Ogni elemento che trovi diventa un Indicator of Compromise da usare per caccia proattiva alle minacce nella tua rete.
Tutto questo richiede competenze specifiche, tool specializzati come Volatility o Rekall, conoscenza approfondita dell’architettura Windows e delle tecniche di attacco moderne. Non si improvvisa.
Diventa un professionista Blue Team con Nexsys
Se sei arrivato fino a qui, significa che non ti accontenti di “usare qualche tool”. Vuoi comprendere davvero come funzionano gli attacchi moderni, come rispondere in modo efficace quando succede l’inevitabile e come costruire difese solide contro avversari determinati e competenti.
Il Corso Blue Team di Nexsys è progettato esattamente per questo: trasformare curiosità e conoscenze di base in expertise operativa concreta, immediatamente spendibile sul campo.
Acquisirai competenze di Incident Response reale, lavorando su scenari pratici, lab hands-on e simulazioni di attacchi veri. Niente slide teoriche: esercitazioni concrete ti permettono di mettere le mani sulla tastiera e risolvere incidenti come faresti in produzione. Approfondirai la Memory Forensics avanzata, dalla live acquisition della RAM fino all’analisi completa con Volatility, imparando a identificare malware nascosto, credential dumping, process injection e tecniche evasive.
Svilupperai abilità di Threat Hunting, imparando a individuare minacce nascoste nella rete prima che causino danni. Non ti limiterai a reagire agli alert: andrai a caccia proattivamente. Studierai analisi malware con elementi di reverse engineering, behavioral analysis ed estrazione di Indicator of Compromise utilizzabili per proteggere l’intera infrastruttura.
Approfondirai anche SIEM e detection engineering, imparando a creare regole di rilevamento efficaci, ridurre falsi positivi che rallentano il SOC e orchestrare risposte automatizzate. Acquisirai competenze di hardening e difesa in profondità, proteggendo sistemi Windows e Linux, configurando logging avanzato e implementando architetture zero trust.
Nexsys non è un corso teorico dove ascolti qualcuno parlare per ore. È formazione pratica e operativa, con lab reali dove sperimentare concretamente. I docenti sono professionisti con esperienza sul campo, che lavorano quotidianamente in Blue Team e Incident Response e portano in aula casi reali, errori commessi e lezioni apprese.
Il panorama delle minacce evolve costantemente: la tua formazione non si ferma all’ultimo giorno di corso.
Non aspettare il prossimo incidente per scoprire che ti mancano competenze critiche. Non rischiare di trovarti con un sistema compromesso senza sapere da dove iniziare. Preparati oggi per difendere domani.
Scopri il Corso Blue Team Nexsys e inizia subito il tuo percorso verso l’eccellenza nella difesa informatica.
