La segunda parte usaremos otra herramienta que sirve para ver como realizar un análisis forense de la memoria ram capturada . El nombre de esta tool es Volatility. Es muy útil para respuesta a incidentes (Crash Computer) y análisis de malware.
Volatility soporta el analisis forense de las siguientes imágenes de memoria:
Perfiles Windows:
* Windows XP de 32 bits Service Pack 2 y 3
* Paquete de servicio de servidor Windows 2003 de 32 bits 0, 1, 2
* Paquete de servicios Windows Vista de 32 bits 0, 1, 2
* Windows 2008 Server Service Pack 1, 2 de 32 bits (no hay SP0)
* Paquete de servicio 0, 1 de Windows 7 de 32 bits
* Windows 8, 8.1 y 8.1 Actualización 1 de 32 bits
* Windows 10 de 32 bits (soporte inicial)
* Windows XP de 64 bits Service Pack 1 y 2 (no hay SP0)
* Windows 2003 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
* Paquete de servicio Windows Vista de 64 bits 0, 1, 2
* Windows 2008 Server Service Pack 1 y 2 de 64 bits (no hay SP0)
*Servidor Windows 2008 R2 de 64 bits Service Pack 0 y 1
* Windows 7 de 64 bits Service Pack 0 y 1
* Windows 8, 8.1 y 8.1 Actualización 1 de 64 bits
* Servidor Windows 2012 y 2012 R2 de 64 bits
* Windows 10 de 64 bits (incluido al menos 10.0.19041)
* Windows Server 2016 de 64 bits (incluido al menos 10.0.19041)
Linux:
* 32-bit Linux kernels 2.6.11 to 5.5
* 64-bit Linux kernels 2.6.11 to 5.5
* OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc
Mac OSX:
* 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
* 32-bit 10.6.x Snow Leopard
* 64-bit 10.6.x Snow Leopard
* 32-bit 10.7.x Lion
* 64-bit 10.7.x Lion
* 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
* 64-bit 10.9.x Mavericks (there is no 32-bit version)
* 64-bit 10.10.x Yosemite (there is no 32-bit version)
* 64-bit 10.11.x El Capitan (there is no 32-bit version)
* 64-bit 10.12.x Sierra (there is no 32-bit version)
* 64-bit 10.13.x High Sierra (there is no 32-bit version))
* 64-bit 10.14.x Mojave (there is no 32-bit version)
* 64-bit 10.15.x Catalina (there is no 32-bit version)
PAGINAS LINKS o ENLACES IMPORTANTES
https://seanthegeek.net/1172/how-to-ins ... ali-linux/
https://github.com/504ensicsLabs/LiME
https://installati.one/install-lime-for ... kalilinux/
https://github.com/volatilityfoundation/volatility
https://github.com/stuxnet999/MemLabs
https://www.base64decode.org/es/
https://convertcase.net/
COMANDOS IMPORTANTES
Código: Seleccionar todo
git clone https://github.com/504ensicsLabs/LiME.git
sudo apt-get install make gcc build-essential -y
cd LiMe
cd src
comandos para ver la version del linux
cat /etc/*release
uname -r (version del kernel)
make
Ver el video de vuelt que explica lo del kernel
insmod ./lime-6.6.9-amd64.ko "path=/home/rogerio24/dump.mem format=raw"
sudo scp rogerio24@192.168.10.183:/home/rogerio24/dump.mem /home/rogerio24
---------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------
https://github.com/volatilityfoundation/volatility
https://github.com/stuxnet999/MemLabs
Instalar Volatility en Kali Linux
sudo apt-get update && sudo apt-get install volatility
sudo snap install volatility-phocean
https://github.com/volatilityfoundation/volatility.git
p7zip -d MemLabs-Lab1.7z
Vemos el tamaño de la imagen
du -sh *
ver como podemos armar el comand
vol.py --help
Ver detalles de los pluggins y de que profile tenemos que usar cuando analizamos una memoria
vol.py --info
De esta forma o con este comando vamos a ver que profile tenemos que asignar
vol.py -f MemoryDump_Lab1.raw imageinfo
vol.py -f dump.mem imageinfo
Comando para ver mas detalles de este dump de memoria de donde viene
vol.py --info | grep kdbgscan
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 kdbgscan
listar los procesos que se ejecutaron cuando se ejecuto este snap o dump de memoria
vol.py --info | grep pslist
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist
Identificar procesos ocultos y vemos el pid ppid los threads de esos ppid and pid
vol.py --info | grep pstree
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pstree
Ver detalles del proceso, ver basicamente de donde viene
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512
Ejecutamos este comandos para ver que plugin me permite ver que comandos ejecuto este user
vol.py --info | grep consoles
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1984
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles
echo "ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=" | base64 -d
https://www.base64decode.org/es/
Analizamos de vuelta el proceso rar para ver el contenido que tiene el archivo rar
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline -p 1512
Analizamos el plugin
vol.py --info | grep filescan
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan | grep -i "Important.rar"
Recuperamos el archivo cargado en memoria
vol.py --info | grep dumpfiles
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D /home/rogerio24/Downloads file file.dat
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D . file file.dat
ls
du -sh *
Renombrarmos
mv file.None.0xfffffa8001034450.dat Important.rar
descomprimimos
unrar x Important.rar
vol.py --info | grep hashdump
vol.py -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump
Hacking Forense,Análisis Malware,Android Forense,Malware Analysis,Forensic Analysis,TecnologíaForense,Linux Forense,Investigación Digital,Memory forensics tool,Open Source,memory forensics platform,Windows Malware and Memory Forensics Training,Seguridad Informatica,Cyber Seguridad,CyberSecurity,Curso,Capturar memoria,capture memory,Capacitacionvol,Como extraer memoria ram ,How to get a memory ram,Como conseguir una imagen de la memoria de una computadora,Obtener informacion de una memoria ram,Leyendo la memoria de un Android ,Reading memory ram ,Memory Acquisition and Analysis,Laboratorio de Pruebas,Test Lab,linux server,blue team,hacking,blue team course,red team vs blue team,blue team training,blue team cyber training,cybersecurity for beginners,cyber security career,information security,cybersecurity training,cyber security tutorial,penetration testing linux,Forensic Investigation,Mobile Forensics,Malware Forensics,Hacking Forensics,Memory Extraction,Digital Investigation