A Computação Forense pode ser descrita como a ciência responsável pela recolha, preservação e análise de vestígios digitais, presentes nos mais diversos dispositivos de processamento, armazenamento e comunicação. Depois da ferramenta Autopsy, hoje damos a conhecer a Volatility.
A ferramenta Volatility é amplamente utilizada em análise forense digital para analisar imagens de memória RAM. Esta ferramenta permite aos analistas extrair informações cruciais de sistemas em funcionamento, como processos, ligações à de rede, utilizadores ligados, scripts executados, chaves criptográficas, entre outros.
Principais características da ferramenta Volatility
- Análise de Memória Volátil
- Ajuda a investigar dados armazenados temporariamente na RAM.
- Extração de Artefactos
- Identifica processos em execução, registos de atividades, ficheiros abertos e até mesmo malware ativo.
- Compatibilidade
- Funciona em imagens de memória extraídas de diversos sistemas operativos, como Windows, Linux e macOS.
- Código Aberto
- É uma ferramenta open-source, amplamente utilizada por peritos forenses, investigadores de segurança e entusiastas de cibersegurança.
De referir que esta ferramenta não oferece funcionalidades para obter dumps de memória RAM. Para esse efeito há várias ferramentas gratuitas que falaremos em próximos artigos. Se alguem tiver sugestões, pode deixar nos comentários.