Volatility

O que é o Volatility?

O Volatility é uma ferramenta poderosa de análise de memória RAM usada em investigações forenses digitais e desafios de CTF. Ele permite a extração de informações relevantes de arquivos de memória capturados (como dump de memória) para ajudar na identificação de ameaças, análise de malwares e resolução de desafios.

Instalação

Requisitos

Python 3.x (para o Volatility 3, que é a versão mais recente)

Passos para Instalação

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
pip install -r requirements.txt
python3 vol.py

Se estiver instalado corretamente, você verá algo como:

Volatility 3 Framework
Usage: vol.py <volatility_options> <plugin> [plugin_options]

Para ver todos os plugins disponíveis no seu Volatility 3:

python3 vol.py --help

Fluxo básico de uso em desafios de CTF

Identifique o perfil do sistema

Determine o sistema operacional e a arquitetura.

python3 vol.py -f <arquivo> imageinfo

Liste os processos ativos

Ajuda a identificar processos suspeitos.

python3 vol.py -f <arquivo> pslist

Procure conexões de rede

Identifique conexões estabelecidas e portas abertas.

python3 vol.py -f <arquivo> netscan

Dump de um processo específico

Para análise de possíveis malwares.

python3 vol.py -f <arquivo> memdump -p <PID>

Extrair strings

Útil para encontrar pistas em CTFs.

python3 vol.py -f <arquivo> strings

Analise módulos de kernel

Verifique alterações ou presença de rootkits.

python3 vol.py -f <arquivo> modscan

Analise histórico de navegação

Busque URLs e possíveis pistas.

python3 vol.py -f <arquivo> webhist

Listar handles de arquivos abertos

Lista todos os handles (manipuladores) do sistema, que podem incluir arquivos, processos, eventos, etc.

python3 vol.py -f <arquivo> handles

Extrair hashes do sistema

Extrai hashes de senhas armazenadas no sistema a partir da memória.

python3 vol.py -f <arquivo> hashdump

Busca por registros de clipboard

Exibe o conteúdo da área de transferência (clipboard), que pode conter informações copiadas pelo usuário.

python3 vol.py -f <arquivo> clipboard

Visualizar histórico do cmd

Permite encontrar comandos executados a partir de linhas de comando.

python3 vol.py -f <arquivo> cmdscan

Se você está usando o Volatility no Windows via o executável volatility.exe, os comandos são semelhantes aos usados no Linux. A diferença está na sintaxe do comando e no uso de caminhos específicos para Windows.

Ex:

.\volatility.exe -f <arquivo> --profile=Win7SP1x64 <comando>

OBS: Lembre-se de substituir Win7SP1x64 pelo perfil apropriado para o sistema operacional do dump de memória.

Write-Up e Sites de Apoio

Write-Up

NAHAMCONCTF2020 - Volatile

Sites de Apoio

Volatility 3: Análise de Memória - Lucas Soeiro

AnteriorFTK-Imager PróximoExif

Atualizado há 9 meses