Leo Posted January 23, 2018 at 01:23 AM Share Posted January 23, 2018 at 01:23 AM O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os; arquivos de hibernação do Windows, crash dumps entre outros. Veremos a seguir alguns comandos básicos que esta poderosa ferramenta pode nos oferecer... OBS: Consultar legendas. * O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows): # volatility -f <1>.dmp imageinfo * Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando: # volatility -f <1>.dmp --profile=<2> pslist * Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando: # volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4> Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada. Legendas: 1= Nome da imagem do dump 2= Sugested Profile(s) descrito através do primeiro comando imageinfo 3= Destino para o dump do processo em memória 4= PID do processo Referências: link do github para a ferramenta: https://github.com/volatilityfoundation/volatility link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk Link to comment Share on other sites More sharing options...
Fernando Mercês Posted January 24, 2018 at 04:28 AM Share Posted January 24, 2018 at 04:28 AM É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos. Link to comment Share on other sites More sharing options...
Vernieri Posted January 25, 2018 at 12:47 AM Share Posted January 25, 2018 at 12:47 AM Em meus estudos de Memory eu estou usando o GDB, nativo do Remnux. Ainda estou bem no comeco dos meus estudos entao ainda nao tive a oportunidade de testar outros. Mas esse eu estou gostando bastante e recomendo. Link to comment Share on other sites More sharing options...
Fernando Mercês Posted January 26, 2018 at 06:43 PM Share Posted January 26, 2018 at 06:43 PM Isso pra dumpar a stack do processo, @Vernieri? É do mesmo jeito que usei aqui? Pega o endereço da stack no /proc/<pid>/maps e usa o dump memory do gdb? Eu não sei sobre as técnicas modernas, por isso pergunto. Abraço! Link to comment Share on other sites More sharing options...
gzn Posted January 29, 2018 at 10:45 PM Share Posted January 29, 2018 at 10:45 PM Nunca usei essa ferramenta, mas li agora o manual e diz que um plugin chamado vadtree e um outro chamado vaddump que podem ajudar a copiar os dados da pilha. Esse vadtree até pode gerar na saída um dot que pode ser interpretado pelo graphviz por exemplo (as cores indicam o tipo de conteúdo da região, se é a pilha, a heap, arquivos mapeados, dlls, etc.). Parece que usamos primeiro o vadtree, observamos os intervalos e com o vaddump criamos os dumps e olhamos só os arquivos que tem os intervalos que nos interessa (pode observar com um editor hex). Link to comment Share on other sites More sharing options...
Fernando Mercês Posted February 7, 2018 at 02:30 PM Share Posted February 7, 2018 at 02:30 PM Ainda assim, @gzn, temos que ter o dump de memória antes, correto? É o que entendi do manual... Link to comment Share on other sites More sharing options...
gzn Posted February 7, 2018 at 03:06 PM Share Posted February 7, 2018 at 03:06 PM Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante! É, no caso do vbox tem que extrair manualmente os dados do dump... >>ferramenta para conversão<< abs Link to comment Share on other sites More sharing options...
Leo Posted February 17, 2018 at 10:46 PM Author Share Posted February 17, 2018 at 10:46 PM Em 1/24/2018 em 02:28, Fernando Mercês disse: É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos. Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS... Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows. Link to comment Share on other sites More sharing options...
Leo Posted February 17, 2018 at 10:51 PM Author Share Posted February 17, 2018 at 10:51 PM Em 2/7/2018 em 13:06, gzn disse: Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante! É, no caso do vbox tem que extrair manualmente os dados do dump... >>ferramenta para conversão<< abs @gzn, Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são: - Raw linear sample (dd) - Hibernation file (from Windows 7 and earlier) - Crash dump file - VirtualBox ELF64 core dump - VMware saved state and snapshot files - EWF format (E01) - LiME format - Mach-O file format - QEMU virtual machine dumps - Firewire - HPAK (FDPro) Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.