Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
Leo

Ferramenta para análise de dump de RAM

Posts Recomendados

O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python

que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os;
arquivos de hibernação do Windows, crash dumps entre outros.

Veremos a seguir alguns comandos básicos que esta poderosa ferramenta
pode nos oferecer...

OBS: Consultar legendas.

* O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows):
# volatility -f <1>.dmp imageinfo

* Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando:
# volatility -f <1>.dmp --profile=<2> pslist

* Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando:
# volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4>

Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada.

Legendas:
1= Nome da imagem do dump
2= Sugested Profile(s) descrito através do primeiro comando imageinfo
3= Destino para o dump do processo em memória
4= PID do processo

Referências:
link do github para a ferramenta: https://github.com/volatilityfoundation/volatility
link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk

Editado por Leo

Compartilhar este post


Link para o post
Compartilhar em outros sites

É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Em meus estudos de Memory  eu estou usando o GDB, nativo do Remnux. Ainda estou bem no comeco dos meus estudos entao ainda nao tive a oportunidade de testar outros.
Mas esse eu estou gostando bastante e recomendo. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nunca usei essa ferramenta, mas li agora o manual e diz que um plugin chamado vadtree e um outro chamado vaddump que podem ajudar a copiar os dados da pilha. Esse vadtree até pode gerar na saída um dot que pode ser interpretado pelo graphviz por exemplo (as cores indicam o tipo de conteúdo da região, se é a pilha, a heap, arquivos mapeados, dlls, etc.).

Parece que usamos primeiro o vadtree, observamos os intervalos e com o vaddump criamos os dumps e olhamos só os arquivos que tem os intervalos que nos interessa (pode observar com um editor hex).

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). 

E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante!

É, no caso do vbox tem que extrair manualmente os dados do dump... 

>>ferramenta para conversão<<

abs

Editado por gzn
  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 1/24/2018 em 02:28, Fernando Mercês disse:

É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos.

Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS...
Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows.

Editado por Leo
Apresentação gramátical da resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 2/7/2018 em 13:06, gzn disse:

Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). 

E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante!

É, no caso do vbox tem que extrair manualmente os dados do dump... 

>>ferramenta para conversão<<

abs

@gzn,

Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são:

  - Raw linear sample (dd)
  - Hibernation file (from Windows 7 and earlier)
  - Crash dump file
  - VirtualBox ELF64 core dump
  - VMware saved state and snapshot files
  - EWF format (E01) 
  - LiME format
  - Mach-O file format
  - QEMU virtual machine dumps
  - Firewire 
  - HPAK (FDPro)

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons no total são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...