Olá!
Bem-vindo à postagem 3 sobre Análise de Memória. Nessa postagem irei tratar de uma breve introdução ao Volatility Framework. Anteriormente, apresentei os conceitos básicos de memória virtual e análise forense de memória. Nesta postagem, apresentarei o Volatility Framework e seus vários plug-ins, perfis e opções.
Links para postagens anteriores:
INTRODUÇÃO AO VOLATILITY
Volatility Framework é o framework de análise de memória de código aberto mais popular, escrito em Python, e oferece suporte a imagens de memória do Windows, Linux, Mac e Android. Ele é instalado por padrão no Kali Linux.
O Volatility Framework inclui vários plug-ins para extrair diferentes artefatos de imagens de memória e novas funcionalidades podem ser implementadas por meio de sua interface de programação de aplicativo extensível e programável ou API (Application Progamming Interface). Ele pode analisar imagens de memória de vários formatos e também hibernação e travamento de arquivos. Volatility não é uma ferramenta de aquisição de memória e não fornece um front-end gráfico
Para começar, vamos dar uma olhada nas opções de Volatility com o comando volatility –help | less :
IMAGEM: Do Autor
IMAGEM: Do Autor
Volatility permite usar um arquivo de configuração customizado com a opção de compilação e permite especificar diretórios que contêm plug-ins adicionais para usar com a opção de plug-ins. As informações de Options: exibe os plug-ins e perfis disponíveis, como veremos em breve. A opção –f, ou FILENAME , permite especificar a imagem da memória de entrada a ser analisada. É uma opção obrigatória.
IMAGEM: Do Autor
Enquanto a opção –profile= informa ao Volatility o tipo de sistema operacional e a versão da imagem da memória, para que possa ser analisada com os plug-ins apropriados. Se o perfil não for especificado com esta opção, o perfil WinXPSP2x86 padrão será usado.
IMAGEM: Do Autor
Se executarmos o Volatility com a opção –info, poderemos ver a lista completa dos perfis e plug-ins disponíveis. Utilize com o comando less para facilitar a leitura:
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Notamos que temos perfis para cada versão do Windows. Mas os perfis Linux e Mac não são habilitados por padrão. Se quisermos os perfis Linux e Mac habilitados, podemos baixar os perfis desejados neste link:
https://github.com/volatilityfoundation/profiles
IMAGEM: Do Autor
Por exemplo, baixaremos o perfil para Debian 64 bits. Clique na pasta Linux, Debian e em x64, e então baixe o perfil Debian 64.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM – Do Autor
Clique no hyperlink. Abrirá outra página. Nela, clique em Download e na hora de escolher em qual diretório será salvo, escolha sempre o diretório /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux:
IMAGEM: Do Autor
Se você não quiser baixar pelo navegador de Internet, você pode utilizar o comando wget seguindo a URL de destino do botão Download. Lembre-se de acessar o diretório /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux antes.
IMAGEM: Do Autor
IMAGEM: Do Autor
Agora que já baixamos o arquivo zip e o salvamos no diretório sob o caminho /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/Linux, digite o comando volatility –info |less e verifique se ele está na listagem. Se positivo, deu tudo certo! Caso contrário provavelmente o profile está danificado:
IMAGEM: Do Autor
Não é recomendado adicionar muitos perfis, pois isso tornaria mais lento o carregamento do programa, mas apenas aqueles que precisamos de vez em quando.
A opção –info também mostra todos os plug-ins disponíveis, cada plug-in é usado para extrair um tipo diferente de artefato da imagem da memória. Informações de artefato sobre processos em execução e negócios carregados, módulos e drivers do kernel, tipos de cache, logs de eventos, conexões de rede e assinaturas de malware.
Se não sabemos que tipo de sistema uma imagem de memória foi capturada do plugin de informação de imagem, podemos obter as informações.
IMAGEM: Do Autor
Para obter mais informações sobre o uso e as opções do Volatility Framework, consulte a página wiki neste link:
https://github.com/volatilityfoundation/volatility/wiki
Nesta postagem, apresentei o Volatility Memory Analysis Framework e suas opções, perfis e plug-ins. Na próxima postagem, irei cobrir a análise de uma imagem de memória com volatilidade.
Até breve! Comente e deixe seu Like!
Douglas Mendes 
Um comentário em “ANÁLISE DE MEMÓRIA (pt. 3) – ANÁLISE FORENSE”