Obtención y Analisis Forense de Memoria RAM | Volatility LiME Memory Dump o Imagen de Memoria

Avatar de Usuario
admin
Verified
Site Admin
Mensajes: 2106
Registered for: 10 years 4 months
10
Ubicación: Ciudad de Córdoba - Argentina
Gender:
Edad: 41
Contactar:

Obtención y Analisis Forense de Memoria RAM | Volatility LiME Memory Dump o Imagen de Memoria

#1

Mensaje por admin »

La primera parte del vídeo consiste en en adquirir la memoria volátil con LiME (Linux Memory Extrator) Esta tool o herramienta sirve para sacar un snap o una captura de la memoria ram de dispositivos linux y los basados en linux como puede ser cualquier Móvil o teléfono celular con Android

La segunda parte usaremos otra herramienta que sirve para ver como realizar un análisis forense de la memoria ram capturada . El nombre de esta tool es Volatility. Es muy útil para respuesta a incidentes (Crash Computer) y análisis de malware.
Volatility soporta el analisis forense de las siguientes imágenes de memoria:

Perfiles Windows:

* Windows XP de 32 bits Service Pack 2 y 3
* Paquete de servicio de servidor Windows 2003 de 32 bits 0, 1, 2
* Paquete de servicios Windows Vista de 32 bits 0, 1, 2
* Windows 2008 Server Service Pack 1, 2 de 32 bits (no hay SP0)
* Paquete de servicio 0, 1 de Windows 7 de 32 bits
* Windows 8, 8.1 y 8.1 Actualización 1 de 32 bits
* Windows 10 de 32 bits (soporte inicial)
* Windows XP de 64 bits Service Pack 1 y 2 (no hay SP0)
* Windows 2003 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
* Paquete de servicio Windows Vista de 64 bits 0, 1, 2
* Windows 2008 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
*Servidor Windows 2008 R2 de 64 bits Service Pack 0 y 1
* Windows 7 de 64 bits Service Pack 0 y 1
* Windows 8, 8.1 y 8.1 Actualización 1 de 64 bits
* Servidor Windows 2012 y 2012 R2 de 64 bits
* Windows 10 de 64 bits (incluido al menos 10.0.19041)
* Windows Server 2016 de 64 bits (incluido al menos 10.0.19041)



Linux:
* 32-bit Linux kernels 2.6.11 to 5.5
* 64-bit Linux kernels 2.6.11 to 5.5
* OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc

Mac OSX:
* 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
* 32-bit 10.6.x Snow Leopard
* 64-bit 10.6.x Snow Leopard
* 32-bit 10.7.x Lion
* 64-bit 10.7.x Lion
* 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
* 64-bit 10.9.x Mavericks (there is no 32-bit version)
* 64-bit 10.10.x Yosemite (there is no 32-bit version)
* 64-bit 10.11.x El Capitan (there is no 32-bit version)
* 64-bit 10.12.x Sierra (there is no 32-bit version)
* 64-bit 10.13.x High Sierra (there is no 32-bit version))
* 64-bit 10.14.x Mojave (there is no 32-bit version)
* 64-bit 10.15.x Catalina (there is no 32-bit version)


Imagen
 
PAGINAS LINKS o ENLACES IMPORTANTES

https://seanthegeek.net/1172/how-to-ins ... ali-linux/

https://github.com/504ensicsLabs/LiME

https://installati.one/install-lime-for ... kalilinux/

https://github.com/volatilityfoundation/volatility

https://github.com/stuxnet999/MemLabs

https://www.base64decode.org/es/

https://convertcase.net/


COMANDOS IMPORTANTES

Código: Seleccionar todo

git clone https://github.com/504ensicsLabs/LiME.git

sudo apt-get install make gcc build-essential -y

cd LiMe

cd src



comandos para ver la version del linux

cat /etc/*release

uname -r (version del kernel)

make

Ver el video de vuelt que explica lo del kernel

insmod ./lime-6.6.9-amd64.ko "path=/home/rogerio24/dump.mem format=raw"

sudo scp rogerio24@192.168.10.183:/home/rogerio24/dump.mem /home/rogerio24

---------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------



https://github.com/volatilityfoundation/volatility

https://github.com/stuxnet999/MemLabs

Instalar Volatility en Kali Linux

sudo apt-get update && sudo apt-get install volatility
sudo snap install volatility-phocean

https://github.com/volatilityfoundation/volatility.git





p7zip -d MemLabs-Lab1.7z

Vemos el tamaño de la imagen

du -sh *

ver como podemos armar el comand
vol.py --help

Ver detalles de los pluggins y de que profile tenemos que usar cuando analizamos una memoria
vol.py --info

De esta forma o con este comando vamos a ver que profile tenemos que asignar

vol.py -f MemoryDump_Lab1.raw imageinfo

vol.py -f dump.mem imageinfo


Comando para ver mas detalles de este dump de memoria de donde viene

vol.py --info | grep kdbgscan

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 kdbgscan






listar los procesos que se ejecutaron cuando se ejecuto este snap o dump de memoria

vol.py --info | grep pslist

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist



Identificar procesos ocultos y vemos el pid ppid los threads de esos ppid and pid

vol.py --info | grep pstree

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pstree



Ver detalles del proceso, ver basicamente de donde viene

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512



Ejecutamos este comandos para ver que plugin me permite ver que comandos ejecuto este user

vol.py --info | grep consoles

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1984

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles




echo "ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=" | base64 -d

https://www.base64decode.org/es/


Analizamos de vuelta el proceso rar para ver el contenido que tiene el archivo rar

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512

Analizamos el plugin

vol.py --info | grep filescan

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan | grep -i "Important.rar"



Recuperamos el archivo cargado en memoria

vol.py --info | grep dumpfiles

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D /home/rogerio24/Downloads file file.dat
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D . file file.dat

ls

du -sh *

Renombrarmos
mv file.None.0xfffffa8001034450.dat Important.rar

descomprimimos
unrar x Important.rar




vol.py --info | grep hashdump

vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump
VIDEO TUTORIAL



Hacking Forense,Análisis Malware,Android Forense,Malware Analysis,Forensic Analysis,TecnologíaForense,Linux Forense,Investigación Digital,Memory forensics tool,Open Source,memory forensics platform,Windows Malware and Memory Forensics Training,Seguridad Informatica,Cyber Seguridad,CyberSecurity,Curso,Capturar memoria,capture memory,Capacitacionvol,Como extraer memoria ram ,How to get a memory ram,Como conseguir una imagen de la memoria de una computadora,Obtener informacion de una memoria ram,Leyendo la memoria de un Android ,Reading memory ram ,Memory Acquisition and Analysis,Laboratorio de Pruebas,Test Lab,linux server,blue team,hacking,blue team course,red team vs blue team,blue team training,blue team cyber training,cybersecurity for beginners,cyber security career,information security,cybersecurity training,cyber security tutorial,penetration testing linux,Forensic Investigation,Mobile Forensics,Malware Forensics,Hacking Forensics,Memory Extraction,Digital Investigation
 

Enlace:
BBCode:
HTML:
Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Responder

Create an account or sign in to join the discussion

You need to be a member in order to post a reply

Create an account

Not a member? register to join our community
Members can start their own topics & subscribe to topics
It’s free and only takes a minute

Registrarse

Sign in

  • Temas similares
    Respuestas
    Vistas
    Último mensaje

Volver a “Redes/Networking”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados