Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción las podemos utilizar Windows y/o Linux.
Entre las características podemos mencionar las siguientes:
- Tipo de sistema, fecha y hora
- Procesos que se estaban ejecutando
- Puertos abiertos
- Puertos conectados
- DLLs cargadas por proceso
- Ficheros cargados por procesos
- Claves del registro utilizadas en los procesos
- Modulos del Kernell
- Mapa fisico de offsets a direcciones virtuales
- Direccionamiento de memoria por proceso
- Extración de ejecutables
La mayoría de plugins han sido desarrollados por Brendan Dolan (aka moyix) y pueden encontrarse, junto con una referencia al mensaje de su blog en el que realiza una pequeña introducción al uso y características del mismo, en la siguiente dirección:
http://www.cc.gatech.edu/~brendan/volatility/
Otra gran fuente de información con una recopilación de los plugins disponibles así como una breve descripción de la funcionalidad ofrecida por cada uno de ellos la podemos encontrar en:
http://www.forensicswiki.org/wiki/List_of_Volatility_Plugins
Instalación de Volatility
:~$ cd /usr/local
:~$ wget https://www.volatilesystems.com/volatility/1.3/Volatility-1.3_Beta.tar.gz
Ahora desempaquetamos el contenido e incluiremos un enlace simbólico al directorio obtenido, de forma que siempre apunte a la ultima versión del framework que tengamos instalada:
:~$ tar xvzf Volatility-1.3_Beta.tar.gz
:~$ rm -f Volatility-1.3_Beta.tar.gz
:~$ ln -s Volatility-1.3_Beta/ volatility