Volatility Framework: Obteniendo hashes de un volcado de RAM

Hoy vamos a ver como recuperar tanto los LSA Secrets de un volcado de RAM, como un volcado de hashes, que se encuentren en la SAM. Lo más interesante, es que podremos entender como realizar dichas acciones consiguiendo las direcciones donde el plugin correspondiente de Volatility debe buscarlo. En otras palabras, hay que entender porque realizamos dichas acciones, ya que nos dan pie a muchas otras.

PoC: Recuperando hashes de un volcado y los LSA Secrets

Para descubrir la direcciones de memoria donde se encuentra la SAM, Security, etcétera, se utilizará el plugin hivelist. La sintaxis es sencilla vol -f hivelist.

Lo interesante de la ejecución anterior es la dirección virtual obtenida. Con ella podremos utilizar otros plugins para obtener otro tipo de información, por ejemplo en el caso de las LSA Secrets existe un plugin denominado lsadump con el que podremos obtener el contenido de dicho contenedor. Para ello, el plugin nos pide la dirección virtual de System y Security. La sintaxis es sencilla, vol -f -y -s SECURITY>.

Por último vamos a estudiar el plugin hashdump de Volatility Framework. Con este plugin podemos obtener un volcado de usuarios y hashes de la SAM de Windows. Para llevar a cabo dicha acción la sintaxis es la siguiente vol -f -y -s .

Interesante herramienta y plugins Volatility Framework, próximamente más artículos sobre esta herramienta forense que hace que el análisis de RAM sea mucho más llevadero.

Fuente:http://www.flu-project.com/volatility-framework-obteniendo-hashes-de-un-volcado-de-ram.html