title: “Análise Forense de dump de memória” date: “2021-09-28”
Volatility é uma ferramenta que você pode utilizar para análise forense de dump de memória. Disponível para os principais sistemas operacionais, fácil de instalar e utilizar.
// $ ./volatility.sh -f arquivo.img imageinfo
Informações da imagem.
// $ ./volalitlity.sh -f arquivo.img —profile=WinXPSP2x86 pstree
Árvore de processos em execução.
$ ./volatility.sh -f arquivo.img —profile=WinXPSP2x86 getsids
// hivelist
// hasdump -y 0xe1035b60 -s 0xe1986008
Com os hases, acessar o site crackstation para revelar as senhas.
// $ ./volalitlity.sh -f arquivo.img —profile=WinXPSP2x86 connscan
Autopsy
Ao executar, pela primeira vez, nos sistemas baseados em Ubuntu 20.04 digite a opção —nosplash pois há uma caixa de diálogo abaixo da logo aguardando um enter ou clique no ok para continuar a execução.
Emanoel Lopes