{"id":7972,"date":"2014-10-30T20:41:48","date_gmt":"2014-10-30T23:41:48","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=7972"},"modified":"2019-06-18T17:42:42","modified_gmt":"2019-06-18T20:42:42","slug":"volatility-framework-2-1-analisando-dump-de-memoria","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2014\/10\/basico\/volatility-framework-2-1-analisando-dump-de-memoria\/","title":{"rendered":"Volatility Framework 2.1- Analisando DUMP de mem\u00f3ria"},"content":{"rendered":"

Ol\u00e1 pessoal, neste pequeno artigo mostro como executar um dump de mem\u00f3ria e ap\u00f3s analis\u00e1-lo com a ferramenta forense (Volatility Framework 2.1) contida no Kali Linux.<\/p>\n

Antes de tudo, voc\u00ea deve efetuar o dump de mem\u00f3ria …para isto, voc\u00ea pode utilizar a\u00a0 ferramenta FTK Imager, no caso deste \u00a0laborat\u00f3rio … executei o dump em uma m\u00e1quina XP PRO.<\/p>\n

\"1\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Ap\u00f3s a extra\u00e7\u00e3o do dump, basta copi\u00e1-lo \u00a0para o Kali Linux.<\/p>\n

Efetuando as primeira an\u00e1lises …<\/p>\n

Voc\u00ea pode obter ajuda atrav\u00e9s do comando:<\/p>\n

root@kali:~# vol -h<\/strong><\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Obtendo informa\u00e7\u00f5es sobre a imagem:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem imageinfo<\/strong><\/p>\n

\"2\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

\u00a0<\/strong>–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando processos em execu\u00e7\u00e3o:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem pslist<\/strong><\/p>\n

\"3\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando aloca\u00e7\u00e3o de mem\u00f3ria por processos:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem psscan<\/strong><\/p>\n

\"4\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando SID de usu\u00e1rios:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem getsids<\/strong><\/p>\n

\"5\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando buscando por DLL:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem dlllist<\/strong><\/p>\n

\"6\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando conex\u00f5es ativas:<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem connections<\/strong><\/p>\n

\"7\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

–\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verificando conex\u00f5es finalizadas<\/p>\n

root@kali:~# vol -f \/root\/Desktop\/memdump.mem connscan<\/strong><\/p>\n

\"8\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

E isso ai … at\u00e9 a pr\u00f3xima !!!<\/p>\n\r\n\t\t

\r\n\t\t\t
\r\n\t\t\t\t
\r\n\t\t\t\r\n\t\t\t
<\/div>\r\n\t\t<\/div> \r\n\t\t
\r\n\t\t\t

Autor: S\u00edlvio C\u00e9sar Roxo Giavaroto<\/p>\n

\u00c9 MBA Especialista em Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o,<\/p>\n

Tecn\u00f3logo em Redes de Computadores, C|EH Certified Ethical Hacker,<\/p>\n

atua como Pentest e Analista de Seguran\u00e7a em Servidores Linux no<\/p>\n

Governo do Estado de S\u00e3o Paulo, Professor Universit\u00e1rio , Instrutor<\/p>\n

C|EH e C|HFI.<\/p>\r\n\t\t<\/div> <\/p>\r\n\t\t\t<\/div> \r\n\t\t<\/div> \n

\u00a0<\/strong><\/p>\n

\u00a0<\/strong><\/p>\n

\u00a0<\/strong><\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Ol\u00e1 pessoal, neste pequeno artigo mostro como executar um dump de mem\u00f3ria e ap\u00f3s analis\u00e1-lo com a ferramenta forense (Volatility Framework 2.1) contida no Kali Linux. Antes de tudo, voc\u00ea deve efetuar o dump de mem\u00f3ria …para isto, voc\u00ea pode utilizar a\u00a0 ferramenta FTK Imager, no caso deste \u00a0laborat\u00f3rio … executei o dump em uma […]<\/p>\n","protected":false},"author":1,"featured_media":7982,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100],"tags":[],"class_list":["post-7972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=7972"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7972\/revisions"}],"predecessor-version":[{"id":7984,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7972\/revisions\/7984"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/7982"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=7972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=7972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=7972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}