{"id":21950,"date":"2025-02-17T11:01:29","date_gmt":"2025-02-17T14:01:29","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21950"},"modified":"2025-02-23T19:25:01","modified_gmt":"2025-02-23T22:25:01","slug":"forense-digital-com-linux-tecnicas-praticas-parte-2","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-2\/","title":{"rendered":"Forense Digital com Linux – T\u00e9cnicas Pr\u00e1ticas – Parte 2"},"content":{"rendered":"\n

A an\u00e1lise de mem\u00f3ria RAM com o Volatility<\/strong> \u00e9 uma t\u00e9cnica poderosa para identificar atividades maliciosas em sistemas comprometidos. Neste exemplo pr\u00e1tico, vamos simular a an\u00e1lise de um dump de mem\u00f3ria RAM para detectar uma anomalia, como um processo malicioso ou uma conex\u00e3o de rede suspeita.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Cen\u00e1rio de exemplo<\/strong><\/p>\n

Imagine que um servidor Linux foi comprometido, e voc\u00ea suspeita que um atacante tenha injetado um processo malicioso na mem\u00f3ria RAM. Voc\u00ea possui um dump de mem\u00f3ria (dump_memoria.img<\/code>) e deseja analis\u00e1-lo usando o Volatility para identificar poss\u00edveis anomalias.<\/p>\n

\u00a0<\/p>\n

Passo 1: Prepara\u00e7\u00e3o do Ambiente<\/strong><\/p>\n

1.1 Instale o Volatility:<\/strong><\/p>\n

Se voc\u00ea ainda n\u00e3o tem o Volatility instalado, siga estas etapas:<\/p>\n

\n
sudo<\/span> apt<\/span> update\nsudo<\/span> apt<\/span> install<\/span> volatility

<\/pre>\n<\/div>\n
1.2 Verifique o perfil do sistema:<\/strong><\/p>\n
O Volatility requer um perfil correspondente ao sistema operacional do dump de mem\u00f3ria. Para identificar o perfil correto, use o comando:<\/p>\n
\n
volatility -f<\/span> dump_memoria.img imageinfo

<\/pre>\n<\/div>\n
Sa\u00edda no Shell:<\/strong><\/p>\n
\n
Suggested Profile(s) : LinuxUbuntu_5_4_0-42-genericx64

<\/pre>\n<\/div>\n
Passo 2: Listar Processos em Execu\u00e7\u00e3o<\/strong><\/p>\n
O primeiro passo \u00e9 listar todos os processos em execu\u00e7\u00e3o no momento do dump de mem\u00f3ria. Isso pode revelar processos maliciosos ou suspeitos.<\/p>\n
\u00a0<\/p>\n
Comando:<\/strong><\/p>\n
\n
volatility -f<\/span> dump_memoria.img --profile<\/span>=<\/span>LinuxUbuntu_5_4_0-42-genericx64 linux_pslist

<\/pre>\n<\/div>\n
Sa\u00edda no Shell:<\/strong><\/p>\n
\n
Offset             Name                 PID    PPID   UID    GID    DTB                \n------------------ -------------------- ------ ------ ------ ------ ------------------ \n0xffff88003c8a0000 systemd              1      0      0      0      0x0000000000000000 
\n0xffff88003c8a1000 bash                 1234   1      1000   1000   0x0000000000000000 
\n0xffff88003c8a2000 sshd                 5678   1      0      0      0x0000000000000000 
\n0xffff88003c8a3000 malware              9999   1      0      0      0x0000000000000000 

<\/pre>\n<\/div>\n
An\u00e1lise:<\/strong><\/p>\n