Mòdul Professional 4: Anàlisi forense informàtic - Anàlisi d'Evidències volàtils

Índex

1 Descàrrega i instal·lació

Actualment la Volatility Fundation manté tres versions del framework.

  • 2.6 : Descarregable des de la web Github oficial, però no actualitzat des de fa 3-8 anys.
  • 3.0 : Descarregable des de també des del Github oficial, actualment actualitzat.

Per tant descarregarem la versió Volatility 3 des del Github oficial, pre-instal·lant pre-requisits i dependències opcionals.

2 Afegir plugins i perfils

Per afegir nous plugins dependrà de la versió de volatility. Tanmateix en tots dos casos la instal·lació és tan simple com copiar els arxius .py dins del directori corresponent.

  • Volatility 2.6: /volatility/plugins
  • Volatility3 : /volatility3/framework/plugins i el subdirectori corresponent.

3 Plugins a Volatility3

Per llistar plugins:

vol.py -h

3.1 windows.info

vol.py -f imatge.raw --windows.info | tee vol-windows.info.txt

volatility_windows.info.gif

3.2 windows.pslist

3.2.1 Windows Core proccesses

Process Parent Path Singleton Account Start Time
System none none Yes Local System boot
SMS.EXE System System32\smss.exe No Local System boot
wininit.exe none System32\wininit.exe Yes Local System boot
taskhost.exe services.exe System32\taskhost.exe No many varies
lsass.exe wininit.exe System32\lsass.exe Yes Local System boot
winlogon.exe none System32\winlogon.exe No Local System varies
iexplorer.exe explorer.exe \Program Files\Internet Explorer\iexplore.exe No Local Users varies
explorer.exe userinit.exe SystemRoot%\explorer.exe No Local Users varies
lsm.exe wininit.exe \System32\lsm.exe Yes Local System, Network, Service or Local Service boot, som after boot
services.exe wininit.exe \System32\services.exe yes Local System boot
csrss.exe none \System32\csrss.exe No local System boot

3.2.2 Dump de processos

–pid xxx –dump

  • hash md5
    • pujar a virustotal

3.3 windows.psscan

3.4 windows.pstree

3.5 windows.malfind

Paràmetre -D

3.6 windows.dlllist

3.7 TODO Buscar com fer dump de processos, executables, dll, fer md5 i passar-ho per virustotal

3.8 passar clamAV a la evidència

3.9 windows.hashdump

3.10 windows.dumpfiles

3.11 windows.netscan

3.12 windows.cmdline

3.13 windows.filescan

3.14 windows.strings

3.15 windows.envars

3.16 yarascan

4 Plugins a Volatility 2.6

En versions anteriors a volatility3 cal indicar el plugin a utilitzar i també el perfil mitjançant --profile=PERFIL. El perfil es pot determinar amb el plugin imageinfo.

5 Cerca de Malware

6 Arxius d'hivernació

7 Crash Dumps

8 Cache

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-17 ds. 13:24