La herramienta Volatility se usa mucho en el análisis forense digital para analizar imágenes de memoria RAM. Esta herramienta permite a los analistas extraer información crucial de sistemas en funcionamiento. Después de la versión 2, es hora de probar la versión 3.
La Computación Forense se puede describir como la ciencia encargada de la recopilación, preservación y análisis de rastros digitales presentes en diversos dispositivos de procesamiento, almacenamiento y comunicación. En esta área, una de las herramientas más usadas es Volatility. Como se mencionó, esta herramienta permite extraer información de volcados de memoria, identificar actividades maliciosas y recuperar artefactos, etc.
Volatility 3 (Volatility Framework 3) es la versión más reciente de la popular herramienta de análisis forense de memoria RAM, usada para la investigación de incidentes de seguridad y el análisis de malware. Esta nueva versión trae mejoras significativas en rendimiento, modularidad y soporte para diferentes formatos de volcados de memoria.
Volatility 3 vs Volatility 2
- Reescribida en Python 3 para mayor eficiencia y compatibilidad.
- Arquitectura modular, permitiendo mayor flexibilidad y extensibilidad.
- Mejora de rendimiento, haciendo el análisis de memoria más rápido y preciso.
- Mayor compatibilidad, soportando volcados de memoria de Windows, Linux y macOS.
- Nuevos plugins para un análisis más detallado de procesos, archivos, redes y controladores.
Uso de Volatility 3 en la línea de comandos
Al igual que la versión anterior, la herramienta Volatility 3 se usa en la línea de comandos. Aquí hay algunos ejemplos:
- Listar los procesos en ejecución:
python3 vol.py -f memoria.dmp windows.pslist- Ver conexiones de red activas:
python3 vol.py -f memoria.dmp windows.netstat- Extraer las DLL cargadas por un proceso específico:
python3 vol.py -f memoria.dmp --plugin=windows.dlllist --pid 1234Puedes obtener más información sobre esta pequeña pero poderosa herramienta aquí.
