A ferramenta Volatility é amplamente utilizada em análise forense digital para analisar imagens de memória RAM. Esta ferramenta permite aos analistas extrair informações cruciais de sistemas em funcionamento. Depois da versão 2, é hora de testarem a versão 3.
A Computação Forense pode ser descrita como a ciência responsável pela recolha, preservação e análise de vestígios digitais, presentes nos mais diversos dispositivos de processamento, armazenamento e comunicação. Nesta área, uma das ferramentas mais usadas é a Volatility. Como referido, esta ferramenta permite extrair informações de dumps de memória, identificar atividades maliciosas, e recuperar artefactos, etc.
O Volatility 3 (Volatility Framework 3) é a versão mais recente da popular ferramenta de análise forense de memória RAM, usada para investigação de incidentes de segurança e análise de malware. Esta nova versão traz melhorias significativas ao nível do desempenho, modularidade e suporte a diferentes formatos de dumps de memória.
Volatility 3 vs Volatility 2
- Reescrito em Python 3 para maior eficiência e compatibilidade.
- Arquitetura modular, permitindo uma maior flexibilidade e extensibilidade.
- Melhoria de desempenho, tornando a análise de memória mais rápida e precisa.
- Maior compatibilidade, suportando dumps de memória de Windows, Linux e macOS.
- Novos plugins para uma análise mais detalhada de processos, ficheiros, redes e drivers.
Tal como a anterior versão, a ferramenta Volatility 3 é usada na linha de comandos. Aqui ficam alguns exemplos:
Listar os processos em execução:
python3 vol.py -f memoria.dmp windows.pslist
|
Ver ligações de rede ativas
python3 vol.py -f memoria.dmp windows.netstat
|
Extrair as DLLs carregadas por um processo específico
python3 vol.py -f memoria.dmp --plugin=windows.dlllist --pid 1234 |
Podem saber mais sobre esta pequena, mas poderosa ferramenta aqui.
#ferramenta #open #source #para #análise #memória #RAM
