Skip to content

Análisis forense de memoria mediante Volatility Framework

Publicado por Sergio Hernando el 24 junio 2008

Hola,

Tenía el tema en la recámara, ya que hoy mismo el amigo José Miguel me ha escrito al correo informando sobre la aparición de Volatility. No conocía este framework, y de hecho, le pregunté a José Miguel si tenía alguna referencia en línea para documentarme al respecto.

Curiosamente, he visto una entrada en Forensic Blog, donde también se habla de la publicación de la versión 1.1.2 de Volatility, lo que ha terminado de despertar mi curiosidad :)

Volatility es un marco de trabajo para el análisis forense y la extracción de evidencias digitales de memorias volátiles (RAM). Incluye un conjunto de herramientas Python, y disponibles según GPL, que permiten ejecutar distintos tipos de extracción forense en memorias. Las tareas que facilita Volatility son las siguientes:

* Extracción de tiempo y fecha
* Procesos en ejecución
* Sockets abiertos
* Conexiones de red abiertas
* DLLs cargadas para cada proceso en ejecución
* Ficheros abiertos para cada proceso
* Módulos de kernel presentes
* Mapeo de cadenas a procesos
* Información sobre descriptores Virtual Address Descriptor

Al ser Python, Volatility debería funcionar en cualquier equipo que soporte este lenguaje, habiendo sido probado con éxito en Linux, Cygwin y OSX 10.5. No debería dar problemas en Microsoft Windows XP SP2 y SP3. Se puede descargar Volatility en https://volatilesystems.com/default/volatility

PD: En NIST tienen algunos ejemplos de imágenes que podéis utilizar para el análisis forense de las mismas. Están disponibles en http://www.cfreds.nist.gov/mem/memory-images.rar

Un saludo.

Be Sociable, Share!

Categoría/s → Forensics

2 comentarios
  1. 20 abril 2010
    javi permalink

    Como extraigo un archivo con vilatility de la imagen de la memoria para analizarlo mas exaustivamente

Trackbacks & Pingbacks

  1. Análisis forense de memoria en sistemas Windows » Sergio Hernando

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS