Leo Postado Janeiro 23, 2018 em 01:23 Compartilhar Postado Janeiro 23, 2018 em 01:23 O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os; arquivos de hibernação do Windows, crash dumps entre outros. Veremos a seguir alguns comandos básicos que esta poderosa ferramenta pode nos oferecer... OBS: Consultar legendas. * O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows): # volatility -f <1>.dmp imageinfo * Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando: # volatility -f <1>.dmp --profile=<2> pslist * Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando: # volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4> Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada. Legendas: 1= Nome da imagem do dump 2= Sugested Profile(s) descrito através do primeiro comando imageinfo 3= Destino para o dump do processo em memória 4= PID do processo Referências: link do github para a ferramenta: https://github.com/volatilityfoundation/volatility link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Janeiro 24, 2018 em 04:28 Compartilhar Postado Janeiro 24, 2018 em 04:28 É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos. Link para o comentário Compartilhar em outros sites More sharing options...
Vernieri Postado Janeiro 25, 2018 em 00:47 Compartilhar Postado Janeiro 25, 2018 em 00:47 Em meus estudos de Memory eu estou usando o GDB, nativo do Remnux. Ainda estou bem no comeco dos meus estudos entao ainda nao tive a oportunidade de testar outros. Mas esse eu estou gostando bastante e recomendo. Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Janeiro 26, 2018 em 18:43 Compartilhar Postado Janeiro 26, 2018 em 18:43 Isso pra dumpar a stack do processo, @Vernieri? É do mesmo jeito que usei aqui? Pega o endereço da stack no /proc/<pid>/maps e usa o dump memory do gdb? Eu não sei sobre as técnicas modernas, por isso pergunto. Abraço! Link para o comentário Compartilhar em outros sites More sharing options...
gzn Postado Janeiro 29, 2018 em 22:45 Compartilhar Postado Janeiro 29, 2018 em 22:45 Nunca usei essa ferramenta, mas li agora o manual e diz que um plugin chamado vadtree e um outro chamado vaddump que podem ajudar a copiar os dados da pilha. Esse vadtree até pode gerar na saída um dot que pode ser interpretado pelo graphviz por exemplo (as cores indicam o tipo de conteúdo da região, se é a pilha, a heap, arquivos mapeados, dlls, etc.). Parece que usamos primeiro o vadtree, observamos os intervalos e com o vaddump criamos os dumps e olhamos só os arquivos que tem os intervalos que nos interessa (pode observar com um editor hex). Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Fevereiro 7, 2018 em 14:30 Compartilhar Postado Fevereiro 7, 2018 em 14:30 Ainda assim, @gzn, temos que ter o dump de memória antes, correto? É o que entendi do manual... Link para o comentário Compartilhar em outros sites More sharing options...
gzn Postado Fevereiro 7, 2018 em 15:06 Compartilhar Postado Fevereiro 7, 2018 em 15:06 Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante! É, no caso do vbox tem que extrair manualmente os dados do dump... >>ferramenta para conversão<< abs Link para o comentário Compartilhar em outros sites More sharing options...
Leo Postado Fevereiro 17, 2018 em 22:46 Autor Compartilhar Postado Fevereiro 17, 2018 em 22:46 Em 1/24/2018 em 02:28, Fernando Mercês disse: É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos. Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS... Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows. Link para o comentário Compartilhar em outros sites More sharing options...
Leo Postado Fevereiro 17, 2018 em 22:51 Autor Compartilhar Postado Fevereiro 17, 2018 em 22:51 Em 2/7/2018 em 13:06, gzn disse: Acredito que sim @Fernando Mercês. Ainda não testei o volatility, espero qualquer dia desses experimentar essa ferramenta (o tempo livre que tenho estou estudando outras coisas rsrs). E que tipos de dumps ele aceita? Eu acho que ele aceita vários formatos e até dumps de máquinas virtuais como vbox, interessante! É, no caso do vbox tem que extrair manualmente os dados do dump... >>ferramenta para conversão<< abs @gzn, Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são: - Raw linear sample (dd) - Hibernation file (from Windows 7 and earlier) - Crash dump file - VirtualBox ELF64 core dump - VMware saved state and snapshot files - EWF format (E01) - LiME format - Mach-O file format - QEMU virtual machine dumps - Firewire - HPAK (FDPro) Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.