Ferramenta para análise de dump de RAM

[Leo 2]

O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python

que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os;
arquivos de hibernação do Windows, crash dumps entre outros.

Veremos a seguir alguns comandos básicos que esta poderosa ferramenta
pode nos oferecer...

OBS: Consultar legendas.

* O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows):
# volatility -f <1>.dmp imageinfo

* Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando:
# volatility -f <1>.dmp --profile=<2> pslist

* Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando:
# volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4>

Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada.

Legendas:
1= Nome da imagem do dump
2= Sugested Profile(s) descrito através do primeiro comando imageinfo
3= Destino para o dump do processo em memória
4= PID do processo

Referências:
link do github para a ferramenta: https://github.com/volatilityfoundation/volatility
link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk

Editado Abril 26, 2018 por Leo

[Fernando Mercês 0]

É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos.

[Vernieri 1]

Em meus estudos de Memory  eu estou usando o GDB, nativo do Remnux. Ainda estou bem no comeco dos meus estudos entao ainda nao tive a oportunidade de testar outros.
Mas esse eu estou gostando bastante e recomendo. 

[Fernando Mercês 0]

Isso pra dumpar a stack do processo, @Vernieri? É do mesmo jeito que usei aqui? Pega o endereço da stack no /proc/<pid>/maps e usa o dump memory do gdb? Eu não sei sobre as técnicas modernas, por isso pergunto.

Abraço!

[gzn 34]

Nunca usei essa ferramenta, mas li agora o manual e diz que um plugin chamado vadtree e um outro chamado vaddump que podem ajudar a copiar os dados da pilha. Esse vadtree até pode gerar na saída um dot que pode ser interpretado pelo graphviz por exemplo (as cores indicam o tipo de conteúdo da região, se é a pilha, a heap, arquivos mapeados, dlls, etc.).

Parece que usamos primeiro o vadtree, observamos os intervalos e com o vaddump criamos os dumps e olhamos só os arquivos que tem os intervalos que nos interessa (pode observar com um editor hex).

[Fernando Mercês 0]

Ainda assim, @gzn, temos que ter o dump de memória antes, correto? É o que entendi do manual...

[gzn 34]

Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). 

E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante!

É, no caso do vbox tem que extrair manualmente os dados do dump... 

>>ferramenta para conversão<<

abs

Editado Fevereiro 7, 2018 por gzn

[Leo 2]

Em 1/24/2018 em 02:28, Fernando Mercês disse:

É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos.

Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS...
Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows.

Editado Fevereiro 17, 2018 por Leo
Apresentação gramátical da resposta.

[Leo 2]

Em 2/7/2018 em 13:06, gzn disse:

Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). 

E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante!

É, no caso do vbox tem que extrair manualmente os dados do dump... 

>>ferramenta para conversão<<

abs

@gzn,

Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são:

  - Raw linear sample (dd)
  - Hibernation file (from Windows 7 and earlier)
  - Crash dump file
  - VirtualBox ELF64 core dump
  - VMware saved state and snapshot files
  - EWF format (E01) 
  - LiME format
  - Mach-O file format
  - QEMU virtual machine dumps
  - Firewire 
  - HPAK (FDPro)