Ir para conteúdo

Leo

Membros
  • Total de itens

    5
  • Registro em

  • Última visita

Reputação

2 Neutral
  1. @gzn, Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são: - Raw linear sample (dd) - Hibernation file (from Windows 7 and earlier) - Crash dump file - VirtualBox ELF64 core dump - VMware saved state and snapshot files - EWF format (E01) - LiME format - Mach-O file format - QEMU virtual machine dumps - Firewire - HPAK (FDPro)
  2. Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS... Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows.
  3. O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os; arquivos de hibernação do Windows, crash dumps entre outros. Veremos a seguir alguns comandos básicos que esta poderosa ferramenta pode nos oferecer... OBS: Consultar legendas. * O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows): # volatility -f <1>.dmp imageinfo * Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando: # volatility -f <1>.dmp --profile=<2> pslist * Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando: # volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4> Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada. Legendas: 1= Nome da imagem do dump 2= Sugested Profile(s) descrito através do primeiro comando imageinfo 3= Destino para o dump do processo em memória 4= PID do processo Referências: link do github para a ferramenta: https://github.com/volatilityfoundation/volatility link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk
  4. Isso mesmo Cander, o Volatility tem somente a função de análise da memória previamente extraída.
  5. Bom dia, boa tarde boa noite srs e sras. Fiz um pequeno tutorial técnico e bem objetivo sobre extração do conteúdo da memória ram de sistemas operacionais GNU/Linux, CentOS 7 e Debian 9.3 para ser mais específico. Para criar o tutorial realizei dois laboratórios em máquinas virtuais utilizando o VirtualBox 5.1.30 r118389 (Qt5.7.1). Para os dois laboratórios utilizei as ISOs mínimas para ter certeza de de estar instalando apenas os pacotes necessários para executar o módulo LiME. e sobreescrever o mínimo possível da memória ram para que não prejudique analises posteriores. Debian 9 (debian-9.3.0-amd64-xfce-CD-1.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) Adicione o seguinte conteúdo dentro do arquivo /etc/apt/source.list (Neste ponto será adicionado uma lista de links onde o OS conseguirá encontrar os pacotes que iremos mandar instalar no próximo passo) deb http://deb.debian.org/debian stretch main deb-src http://deb.debian.org/debian stretch main deb http://deb.debian.org/debian stretch-updates main deb-src http://deb.debian.org/debian stretch-updates main deb http://security.debian.org/ stretch/updates main deb-src http://security.debian.org/ stretch/updates main 4) # apt update (Aqui acontece uma indexação dos pacotes que estçao disponíveis) 5) # apt-get install linux-headers-$(uname -r) gcc make git (Aqui é instalado todos os pacotes necessários para compilar e executar o software que usaremos para fazer a extração) 6) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 7) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 8) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 9) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 10) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 11) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo. CentOS7(CentOS-7-x86_64-Minimal-1708.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) yum install kernel-headers-$(uname -r) gcc make git 4) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 5) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 6) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 7) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 8) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 9) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Em breve alguma coisa sobre windows... Qualquer erro que precisa ser corrigido ou dúvidas estou a disposição...
×