Volatility Framework 2.1- Analisando DUMP de memória

Olá pessoal, neste pequeno artigo mostro como executar um dump de memória e após analisá-lo com a ferramenta forense (Volatility Framework 2.1) contida no Kali Linux.

Antes de tudo, você deve efetuar o dump de memória …para isto, você pode utilizar a  ferramenta FTK Imager, no caso deste  laboratório … executei o dump em uma máquina XP PRO.

1

 

 

 

 

 

 

 

Após a extração do dump, basta copiá-lo  para o Kali Linux.

Efetuando as primeira análises …

Você pode obter ajuda através do comando:

root@kali:~# vol -h

–       Obtendo informações sobre a imagem:

root@kali:~# vol -f /root/Desktop/memdump.mem imageinfo

2

 

 

 

 

 –       Verificando processos em execução:

root@kali:~# vol -f /root/Desktop/memdump.mem pslist

3

 

 

 

 

 

–       Verificando alocação de memória por processos:

root@kali:~# vol -f /root/Desktop/memdump.mem psscan

4

 

 

 

 

–       Verificando SID de usuários:

root@kali:~# vol -f /root/Desktop/memdump.mem getsids

5

 

 

 

 

 

 

 

–       Verificando buscando por DLL:

root@kali:~# vol -f /root/Desktop/memdump.mem dlllist

6

 

 

 

 

 

 

 

–       Verificando conexões ativas:

root@kali:~# vol -f /root/Desktop/memdump.mem connections

7

 

 

 

 

–       Verificando conexões finalizadas

root@kali:~# vol -f /root/Desktop/memdump.mem connscan

8

 

 

 

E isso ai … até a próxima !!!

Autor: Sílvio César Roxo Giavaroto

É MBA Especialista em Gestão de Segurança da Informação,

Tecnólogo em Redes de Computadores, C|EH Certified Ethical Hacker,

atua como Pentest e Analista de Segurança em Servidores Linux no

Governo do Estado de São Paulo, Professor Universitário , Instrutor

C|EH e C|HFI.

 

 

 

 

 

468 ad

Deixe seu Comentário