Escolar Documentos
Profissional Documentos
Cultura Documentos
Fundamentals
Rodrigo Albernaz Bezerra
Conhecendo o Volatility
~ 1h / 1h30m
Brinde (Questão)
~5m
2
Apresentação
Pessoal
3
Alb3rn@z > Whoami
• Currículo Acadêmico:
• Bacharelado em Engenharia Elétrica com ênfase em
Computação (UFG/GO)
• Bacharelado em Direito (UFG/GO)
• Tecnólogo em Redes de Comunicações: ênfase em
Telecomunicações (IFG/GO)
• Especialização em Criptografia (UFF/RJ)
• Mestrado em Informática Forense e Segurança da
Informação (UnB/DF)
• Doutorando em Ciências da Computação (UFG/GO)
• Atividades profissionais:
• Perito Criminal Federal (14+ anos)
• Docente (5+ anos)
5
6
Mensagem Inicial
7
Conhecendo o
Volatility
8
Ferramentas de Análise de Memória
9
Ferramentas de Análise de Memória
10
Ferramentas de Análise de Memória
11
Ferramentas de Análise de Memória
12
Referências
Volatility Foundation
http://volatilityfoundation.org
13
Introdução ao Volatility
14
Introdução ao Volatility
• Website/Download:
• http://www.volatilityfoundation.org/releases
• Referência de Comandos (Plugins):
• https://github.com/volatilityfoundation/volatility/wiki/Command-
Reference
• Exemplos de Dumps de Memória:
• https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
• Github:
• https://github.com/volatilityfoundation
15
Introdução ao Volatility
16
Uso Básico Volatility
❖Volatility Framework
• $ vol.py --info
• $ vol.py –f arquivo_dump –-profile=X plugin
17
Global Options
18
Uso Básico Volatility
❖Variáveis de ambiente:
• $ export VOLATILITY_PROFILE=Win7SP1x86
• $ export VOLATILITY_LOCATION=/tmp/file.dmp
19
Identificação do Profile
❖Volatility Framework
20
Identificação do Profile
Versões do Windows 10
Versões do Windows 10
❖Volatility Framework
23
Listagem de Processos
24
Listagem de Processos
25
Listagem de Processos
❖Volatility Framework
26
Artefatos de Rede
❖Volatility Framework
• $ vol.py –f arquivo_dump –-profile=X connections/sockets
• (XP e 2003)
• $ vol.py –f arquivo_dump –-profile=X connscan/sockscan
• (XP e 2003)
• $ vol.py –f arquivo_dump –-profile=X netscan
• (Vista, 2008, 7 e 10)
27
Artefatos de Registro
❖Volatility Framework
28
Identificação de Malwares
❖Volatility Framework
• $ vol.py --info
• $ vol.py –f arquivo_dump –-profile=X malfind
29
Cenários
Práticos
30
Are you
ready?
31
Case #1
32
Demonstração #1
Case #1 – Intruder/Insider
• Background:
• Sede da GoHacking em Brasília no Lago Sul sofreu uma tentativa
de invasão física
33
Demonstração #1
Case #1 - Intruder
• Background:
• A invasão foi detectada e o invasor encontrado quando tentava se
conectar nos servidores de alto desempenho da GoHacking
• Invasor conseguiu fugir, mas deixou o laptop na sala cofre
34
Demonstração #1
Case #1 - Intruder
• Background:
• ETIR foi chamada e chegou segundos após o chamado (ligação
pessoal do Laios “furioso”)
35
Demonstração #1
Case #1
• Questões:
• 1) O que o invasor estava fazendo nos servidores da GoHacking?
36
Case #2
37
Demonstração #1
Case #2
• Background:
• Manoelt estava criando seus exercícios para o curso EHMWX e
durante alguns testes foi contaminado com algum malware;
• Os arquivos do curso foram criptografados e ele não tinha backup
(confiava muito nos seus conhecimentos de Segurança da
Informação, mas descuidou brevemente e....);
38
Demonstração #1
Case #2
39
Demonstração #1
Case #2
40
Demonstração #1
Pânico total
41
Demonstração #1
Case #2
• Questões:
• 1) Seria possível Identificar o processo malicioso no sistema?
42
Demonstração #1
Case #2
• Alerta:
• Cuidados redobrados nos procedimentos realizados em virtude
de arquivos maliciosos existentes nesse dump de memória.
43
Demonstração #1
Case #2
• Alerta:
• The labs covered nearly all of the memory analysis steps that the SANS Institute, well-known
computer security, and certification organization, lists in their Memory Forensics Cheat Sheet:
1. Identify rogue processes
2. Analyze process DLLs and handles
3. Review network artifacts
4. Look for evidence of code injection
5. Check for signs of a rootkit
6. Extract processes, drivers, and objects.
44
45
Contato
darth.vader@starwars.com
46
Contato
treinamentos@gohacking.com.br
47
Contato
101 110 103 46 97 108 98 101 114 110 97 122 64
103 109 97 105 108 46 99 111 109
6c696e6b6564696e2e636f6d2f696e2f726f64726
9676f2d616c6265726e617a2d37303830336236
36
48