Volatility 3 — Análise de Memória
O Volatility é uma ferramenta de código aberto usada para análise forense de sistemas computacionais. Essa ferramenta foi projetada para extrair informações valiosas da memória volátil de um sistema operacional, permitindo aos analistas investigar e compreender atividades passadas e presentes que ocorreram em um computador, que é útil em uma resposta a incidente ou análise forense de fato.
Nesse artigo irei utilizar o sistema operacional Parrot Os 5.3 para realizar algumas demonstrações de como pode ser utilizado o Volatility, e o arquivo de captura da imagem que utilizarei será de um Windows 10.
Iniciando a análise irei executar o Volatility 3 com o seguinte comando:
$ sudo vol -f artefato.raw windows.info
Onde no parâmetro -f será o arquivo de dump a ser análise, e importando o módulo windows.info para que seja obtido informações relevantes sobre o sistema a ser analisado.
Na versão 2 do Volatility eram utilizados profiles para as análises, na nova versão 3, não são mais utilizados por conta de compatibilidade entre as imagens, agora é utilizado uma biblioteca que permite a geração de tabelas de símbolos para diferentes imagens de memória do Windows.
As tabelas de símbolos em forense digital são ferramentas que ajudam os investigadores a decodificar informações complexas de sistemas operacionais e programas, permitindo uma análise mais aprofundada e precisa dos eventos investigados.
Podemos listar os comandos que foram executados no host da seguinte maneira:
$ sudo vol -f artefato.raw windows.cmdline.CmdLine
Da mesma forma utilizando o módulo windows.pslist, verificamos quais processos estavam em execução antes da extração da memória:
$ sudo vol -f artefato.raw windows.pslist
Durante uma análise, podemos encontrar um processo suspeito em execução no host, utilizando o módulo windows.dlllist, obtemos as dll’s que estavam sendo utilizadas no processo dumpit.exe no pid 8632.
$ sudo vol -f artefato.raw windows.dlllist --pid 8632
Também há o módulo windows.hashdump que permite a extração das senhas em formato de hash NTLM do Windows:
$ sudo vol -f artefato.raw windows.hashdump
Listando os serviços do Windows e seu atual status:
$ sudo vol -f artefato.raw windows.svcscan.SvcScan
Obter as conexões ativas e os nomes dos processos:
Listando os serviços do Windows e seu atual status:
$ sudo vol -f artefato.raw windows.netscan
Referências utilizadas:
https://github.com/volatilityfoundation/volatility3
https://academiadeforensedigital.com.br/introducao-ao-volatility-3/