Volatility Framework

Iniciado por Stuxnet, Marzo 29, 2013, 10:23:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción las podemos utilizar Windows y/o Linux.

Entre las características podemos mencionar las siguientes:

- Tipo de sistema, fecha y hora
- Procesos que se estaban ejecutando
- Puertos abiertos
- Puertos conectados
- DLLs cargadas por proceso
- Ficheros cargados por procesos
- Claves del registro utilizadas en los procesos
- Modulos del Kernell
- Mapa fisico de offsets a direcciones virtuales
- Direccionamiento de memoria por proceso
- Extración de ejecutables

La mayoría de plugins han sido desarrollados por Brendan Dolan (aka moyix) y pueden encontrarse, junto con una referencia al mensaje de su blog en el que realiza una pequeña introducción al uso y características del mismo, en la siguiente dirección:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Otra gran fuente de información con una recopilación de los plugins disponibles así como una breve descripción de la funcionalidad ofrecida por cada uno de ellos la podemos encontrar en:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Instalación de Volatility

Código: php
:~$ cd /usr/local
:~$ wget https://www.volatilesystems.com/volatility/1.3/Volatility-1.3_Beta.tar.gz


Ahora desempaquetamos el contenido e incluiremos un enlace simbólico al directorio obtenido, de forma que siempre apunte a la ultima versión del framework que tengamos instalada:

Código: php
:~$ tar xvzf Volatility-1.3_Beta.tar.gz
:~$ rm -f Volatility-1.3_Beta.tar.gz
:~$ ln -s Volatility-1.3_Beta/ volatility

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta