sábado, 25 de enero de 2014

Volatility Framework - Introducción


¿Qué es Volatility?

Volatility es una completa colección de herramientas open source cuyo objetivo es el análisis de Memoria RAM.

Este Framework permite analizar la memoria RAM de todos los sistemas operativos y de las distintas arquitecturas (x32 y x64).

Con volatility podremos obtener toda la información que estaba almacenada en memoria en un equipo (contraseñas, conexiones, procesos, etc).

Previamente debemos realizar una imagen de la memoria RAM del sistema al que queramos auditar.
Para ello hay diferentes herramientas en el mercado que permiten hacer esto, os pongo 3:

La instalación de Volatility es sencilla, tan sólo necesitaremos tener instalado python.
Para instalarlo en sistemas Linux hay que seguir los siguientes pasos:

  1. apt-get install python (Para descargar e instalar python)
  2. apt-get install python-crypto (Para descargar el módulo crypto)
  3. Descargamos desde la página oficial Volatility Framework.
  4. tar xvzf volatility-2.3.1.tar.gz (Descomprimimos el archivo)
  5. cd  /volatility-2.3.1/ (Entramos en la carpeta extraída)
  6. make (compilamos)
  7. make install (instalamos)
Las opciones que presenta Volatility las podemos ver utilizando el comando -h.


Bastantes opciones ¿no?.

Bien imaginemos que queremos ver los procesos que estaban corriendo en el momento en el que se hizo la imagen, para ello escribiremos el comando python vol.py --f dumpmemoria.mem



¿Véis algo extraño en los procesos? xD

En el siguiente post veremos como analizar ese "troyano.exe".


Saludos.


Referencias:
https://code.google.com/p/volatility/


**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**



1) Debemos tener instalado Python en nuestro sistema operativo. De no ser así instalamos Python:
- apg-get install python
y resolvemos la siguiente dependencia:
- apt-get install python-crypto
Podemos ejecutar ambas instalaciones en en un solo comando
- apt-get install python python-crypto
2) Descargamos el código fuente del siguiente link: “volatility.googlecode.com/files/volatility-2.2.tar.gz”.
3) Descomprimimos e instalamos volatility:
- gunzip volatility-2.2.tar.gz
- tar -xvf volatility-2.2.tar
- mv volatility-2.2 /opt/
- cd /opt/volatility-2.2/
- make
- make install
- See more at: http://www.seguridadx.com/volatility/#sthash.J3NmCGje.dpuf
completa colección de herramientas open

No hay comentarios:

Publicar un comentario