A ferramenta Volatility é amplamente utilizada em análise forense digital para analisar imagens de memória RAM. Esta ferramenta permite aos analistas extrair informações cruciais de sistemas em funcionamento. Saiba como usar.
A Computação Forense pode ser descrita como a ciência responsável pela recolha, preservação e análise de vestígios digitais, presentes nos mais diversos dispositivos de processamento, armazenamento e comunicação. Nesta área, uma das ferramentas mais usadas é a Volatility. Como referido, esta ferramenta permite extrair informações de dumps de memória, identificar atividades maliciosas, e recuperar artefactos, etc.
Usar a ferramenta Volatility
De referir que esta ferramenta não oferece funcionalidades para obter dumps de memória RAM. Para usar a ferramenta Volatility para analisar dumps de memória RAM, podem usar os seguintes comandos:
1) Identificar o Perfil do Sistema operativo
Antes de analisar o dump propriamente dito, deve começar por identificar o perfil do sistema operativo onde o dump foi recolhido. Para isso use o seguinte comando.
volatility -f memory.dump imageinfo
2) Executar Plugins para Análise
Para o perfil identificado, use plugins para investigar os artefactos. Exemplos:
Listar Processos Ativos
volatility -f memory.dump --profile=WinXPSP2x86 pslist
Listar ligações de Rede
volatility -f memory.dump --profile=WinXPSP2x86 netscan
Identificar Processos Maliciosos
volatility -f memory.dump --profile=WinXPSP2x86 psxview
Associado aos processos maliciosos, é ainda possível:
Extrair Processos
volatility -f memorydump.raw --profile=WinXPSP2x86 procdump -p -D ./output
Extrair ficheiros
volatility -f memorydump.raw --profile=Win7SP1x64 dumpfiles
Podem saber mais sobre esta pequena, mas poderosa ferramenta aqui.