Banner 1

Análisis forense de memoria mediante Volatility Framework

Análisis forense de memoria mediante Volatility Framework


Hola,

Tenía el tema en la recámara, ya que hoy mismo el amigo José Miguel me ha escrito al correo informando sobre la aparición de Volatility. No conocía este framework, y de hecho, le pregunté a José Miguel si tenía alguna referencia en línea para documentarme al respecto.

Curiosamente, he visto una entrada en Forensic Blog, donde también se habla de la publicación de la versión 1.1.2 de Volatility, lo que ha terminado de despertar mi curiosidad :)

Volatility es un marco de trabajo para el análisis forense y la extracción de evidencias digitales de memorias volátiles (RAM). Incluye un conjunto de herramientas Python, y disponibles según GPL, que permiten ejecutar distintos tipos de extracción forense en memorias. Las tareas que facilita Volatility son las siguientes:

* Extracción de tiempo y fecha
* Procesos en ejecución
* Sockets abiertos
* Conexiones de red abiertas
* DLLs cargadas para cada proceso en ejecución
* Ficheros abiertos para cada proceso
* Módulos de kernel presentes
* Mapeo de cadenas a procesos
* Información sobre descriptores Virtual Address Descriptor

Al ser Python, Volatility debería funcionar en cualquier equipo que soporte este lenguaje, habiendo sido probado con éxito en Linux, Cygwin y OSX 10.5. No debería dar problemas en Microsoft Windows XP SP2 y SP3. Se puede descargar Volatility en https://volatilesystems.com/default/volatility

PD: En NIST tienen algunos ejemplos de imágenes que podéis utilizar para el análisis forense de las mismas. Están disponibles en http://www.cfreds.nist.gov/mem/memory-images.rar

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay