Volatility 3: ferramenta open source para análise de memória RAM

A ferramenta Volatility é amplamente utilizada em análise forense digital para analisar imagens de memória RAM. Esta ferramenta permite aos analistas extrair informações cruciais de sistemas em funcionamento. Depois da versão 2, é hora de testarem a versão 3.

A Computação Forense pode ser descrita como a ciência responsável pela recolha, preservação e análise de vestígios digitais, presentes nos mais diversos dispositivos de processamento, armazenamento e comunicação. Nesta área, uma das ferramentas mais usadas é a Volatility. Como referido, esta ferramenta permite extrair informações de dumps de memória, identificar atividades maliciosas, e recuperar artefactos, etc.

O Volatility 3 (Volatility Framework 3) é a versão mais recente da popular ferramenta de análise forense de memória RAM, usada para investigação de incidentes de segurança e análise de malware. Esta nova versão traz melhorias significativas ao nível do desempenho, modularidade e suporte a diferentes formatos de dumps de memória.

Volatility 3 vs Volatility 2

• Reescrito em Python 3 para maior eficiência e compatibilidade.
• Arquitetura modular, permitindo uma maior flexibilidade e extensibilidade.
• Melhoria de desempenho, tornando a análise de memória mais rápida e precisa.
• Maior compatibilidade, suportando dumps de memória de Windows, Linux e macOS.
• Novos plugins para uma análise mais detalhada de processos, ficheiros, redes e drivers.

Tal como a anterior versão, a ferramenta Volatility 3 é usada na linha de comandos. Aqui ficam alguns exemplos:

Listar os processos em execução:

python3 vol.py -f memoria.dmp windows.pslist

Ver ligações de rede ativas

python3 vol.py -f memoria.dmp windows.netstat

Extrair as DLLs carregadas por um processo específico

python3 vol.py -f memoria.dmp --plugin=windows.dlllist --pid 1234

Podem saber mais sobre esta pequena, mas poderosa ferramenta aqui.