Thiago Teixeira
EN | PT

Volatility

Volatility Foundation

Framework de forense de memória para analisar capturas de RAM em múltiplos sistemas operacionais.

Forense Digital e Resposta a Incidentes Gratuito e Open Source CLI Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Volatility é o framework de fato de forense de memória. Versões 2 (Py2) e 3 (Py3) ainda convivem em campo. Faz parsing de capturas brutas (.mem, .raw, .vmem, .dmp) para Windows, Linux e macOS.

Plugins essenciais:

  • pslist, pstree, psscan — listagem de processos (cruzando lista user-mode com scan do pool do kernel).
  • netscan / netstat — sockets abertos e listeners.
  • cmdline, consoles, cmdscan — histórico de linha de comando.
  • malfind — código injetado oculto.
  • dumpfiles, procdump — extração de artefatos.
  • hivelist, printkey, hashdump — forense de registry da RAM.

Casos de uso

  • Identificação pós-incidente de código injetado
  • Recuperação de credenciais em texto claro da RAM
  • Listagem de processos ocultos por rootkit
  • Extração de ferramentas que viveram apenas em memória

Exemplo

# Volatility 3 — quick triage of a Windows memory image
vol -f memory.raw windows.pstree
vol -f memory.raw windows.netscan
vol -f memory.raw windows.malfind