Volatility
O que é o Volatility?
O Volatility é uma ferramenta poderosa de análise de memória RAM usada em investigações forenses digitais e desafios de CTF. Ele permite a extração de informações relevantes de arquivos de memória capturados (como dump de memória) para ajudar na identificação de ameaças, análise de malwares e resolução de desafios.
Instalação
Requisitos
Python 3.x (para o Volatility 3, que é a versão mais recente)
Passos para Instalação
Se estiver instalado corretamente, você verá algo como:
Para ver todos os plugins disponíveis no seu Volatility 3:
Fluxo básico de uso em desafios de CTF
Identifique o perfil do sistema
Determine o sistema operacional e a arquitetura.
Liste os processos ativos
Ajuda a identificar processos suspeitos.
Procure conexões de rede
Identifique conexões estabelecidas e portas abertas.
Dump de um processo específico
Para análise de possíveis malwares.
Extrair strings
Útil para encontrar pistas em CTFs.
Analise módulos de kernel
Verifique alterações ou presença de rootkits.
Analise histórico de navegação
Busque URLs e possíveis pistas.
Listar handles de arquivos abertos
Lista todos os handles (manipuladores) do sistema, que podem incluir arquivos, processos, eventos, etc.
Extrair hashes do sistema
Extrai hashes de senhas armazenadas no sistema a partir da memória.
Busca por registros de clipboard
Exibe o conteúdo da área de transferência (clipboard), que pode conter informações copiadas pelo usuário.
Visualizar histórico do cmd
Permite encontrar comandos executados a partir de linhas de comando.
Se você está usando o Volatility no Windows via o executável volatility.exe, os comandos são semelhantes aos usados no Linux. A diferença está na sintaxe do comando e no uso de caminhos específicos para Windows.
Ex:
OBS: Lembre-se de substituir Win7SP1x64 pelo perfil apropriado para o sistema operacional do dump de memória.
Write-Up e Sites de Apoio
Write-Up
Sites de Apoio
Atualizado