Volatility 3 — Análise de Memória

O Volatility é uma ferramenta de código aberto usada para análise forense de sistemas computacionais. Essa ferramenta foi projetada para extrair informações valiosas da memória volátil de um sistema operacional, permitindo aos analistas investigar e compreender atividades passadas e presentes que ocorreram em um computador, que é útil em uma resposta a incidente ou análise forense de fato.

Logotipo do Volatility

Nesse artigo irei utilizar o sistema operacional Parrot Os 5.3 para realizar algumas demonstrações de como pode ser utilizado o Volatility, e o arquivo de captura da imagem que utilizarei será de um Windows 10.

Iniciando a análise irei executar o Volatility 3 com o seguinte comando:

$ sudo vol -f artefato.raw windows.info

Onde no parâmetro -f será o arquivo de dump a ser análise, e importando o módulo windows.info para que seja obtido informações relevantes sobre o sistema a ser analisado.

Resultado as informações da imagem obtida.

Na versão 2 do Volatility eram utilizados profiles para as análises, na nova versão 3, não são mais utilizados por conta de compatibilidade entre as imagens, agora é utilizado uma biblioteca que permite a geração de tabelas de símbolos para diferentes imagens de memória do Windows.

As tabelas de símbolos em forense digital são ferramentas que ajudam os investigadores a decodificar informações complexas de sistemas operacionais e programas, permitindo uma análise mais aprofundada e precisa dos eventos investigados.

Podemos listar os comandos que foram executados no host da seguinte maneira:

$ sudo vol -f artefato.raw windows.cmdline.CmdLine

Lista contendo PID, nome do processo e linhas de comandos utilizados.

Da mesma forma utilizando o módulo windows.pslist, verificamos quais processos estavam em execução antes da extração da memória:

$ sudo vol -f artefato.raw windows.pslist

Processos em execução do host.

Durante uma análise, podemos encontrar um processo suspeito em execução no host, utilizando o módulo windows.dlllist, obtemos as dll’s que estavam sendo utilizadas no processo dumpit.exe no pid 8632.

$ sudo vol -f artefato.raw windows.dlllist --pid 8632

Dll’s extraídas de memória.

Também há o módulo windows.hashdump que permite a extração das senhas em formato de hash NTLM do Windows:

$ sudo vol -f artefato.raw windows.hashdump

Logins e hashs obtidos.

Listando os serviços do Windows e seu atual status:

$ sudo vol -f artefato.raw windows.svcscan.SvcScan

Lista dos serviços no host.

Obter as conexões ativas e os nomes dos processos:

Listando os serviços do Windows e seu atual status:

$ sudo vol -f artefato.raw windows.netscan

Conexões que estavam ativas no host.

Referências utilizadas:

https://github.com/volatilityfoundation/volatility3

https://academiadeforensedigital.com.br/introducao-ao-volatility-3/