Olá pessoal, neste pequeno artigo mostro como executar um dump de memória e após analisá-lo com a ferramenta forense (Volatility Framework 2.1) contida no Kali Linux.
Antes de tudo, você deve efetuar o dump de memória …para isto, você pode utilizar a ferramenta FTK Imager, no caso deste laboratório … executei o dump em uma máquina XP PRO.
Após a extração do dump, basta copiá-lo para o Kali Linux.
Efetuando as primeira análises …
Você pode obter ajuda através do comando:
root@kali:~# vol -h
– Obtendo informações sobre a imagem:
root@kali:~# vol -f /root/Desktop/memdump.mem imageinfo
– Verificando processos em execução:
root@kali:~# vol -f /root/Desktop/memdump.mem pslist
– Verificando alocação de memória por processos:
root@kali:~# vol -f /root/Desktop/memdump.mem psscan
– Verificando SID de usuários:
root@kali:~# vol -f /root/Desktop/memdump.mem getsids
– Verificando buscando por DLL:
root@kali:~# vol -f /root/Desktop/memdump.mem dlllist
– Verificando conexões ativas:
root@kali:~# vol -f /root/Desktop/memdump.mem connections
– Verificando conexões finalizadas
root@kali:~# vol -f /root/Desktop/memdump.mem connscan
E isso ai … até a próxima !!!
