Análisis forense de la memoria informática
Volatility es un marco de trabajo de análisis forense de memoria de código abierto para la respuesta a incidentes y el análisis de malware . Está escrito en Python y es compatible con Microsoft Windows , Mac OS X y Linux (a partir de la versión 2.5 [1] ).
Volatility fue creado por Aaron Walters, basándose en la investigación académica que realizó en análisis forense de la memoria. [2] [3]
Compatibilidad con sistemas operativos
La volatilidad apoya las investigaciones de las siguientes imágenes de memoria: [4]
Ventanas:
- Windows XP de 32 bits (Service Pack 2 y 3)
- Servidor Windows 2003 de 32 bits (Service Pack 0, 1, 2)
- Windows Vista de 32 bits (Service Pack 0, 1, 2)
- Servidor Windows 2008 de 32 bits (Service Pack 1, 2)
- Windows 7 de 32 bits (Service Pack 0, 1)
- Actualización 1 de Windows 8, 8.1 y 8.1 de 32 bits
- Windows 10 de 32 bits (soporte inicial)
- Windows XP de 64 bits (Service Pack 1 y 2)
- Servidor Windows 2003 de 64 bits (Service Pack 1 y 2)
- Windows Vista de 64 bits (Service Pack 0, 1, 2)
- Servidor Windows 2008 de 64 bits (Service Pack 1 y 2)
- Servidor Windows 2008 R2 de 64 bits (Service Pack 0 y 1)
- Windows 7 de 64 bits (Service Pack 0 y 1)
- Actualización 1 de Windows 8, 8.1 y 8.1 de 64 bits
- Windows Server 2012 y 2012 R2 de 64 bits
- Windows 10 de 64 bits (incluido al menos 10.0.14393)
- Windows Server 2016 de 64 bits (incluido al menos 10.0.14393.0)
Mac OS X:
- Leopard 10.5.x de 32 bits (el único 10.5 de 64 bits es Server, que no es compatible)
- Leopardo de nieve 10.6.x de 32 bits
- León 10.7.x de 32 bits
- Leopardo de nieve 10.6.x de 64 bits
- Lion 10.7.x de 64 bits
- León de montaña 10.8.x de 64 bits
- Mavericks 10.9.x de 64 bits
- Yosemite 10.10.x de 64 bits
- El Capitán 10.11.x de 64 bits
- Sierra 10.12.x de 64 bits
- 10.13.x High Sierra de 64 bits
- 10.14.x Mojave de 64 bits
- Catalina 10.15.x de 64 bits
Linux:
- Kernels Linux de 32 bits 2.6.11 a 5.5
- Kernels Linux de 64 bits 2.6.11 a 5.5
- OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc.
Compatibilidad con formatos de memoria
Volatility admite una variedad de formatos de archivos de muestra y la capacidad de convertir entre estos formatos:
- Memoria física sin procesar/rellenada
- Firewire (IEEE 1394)
- Testigo experto (EWF)
- Volcado de memoria de Windows de 32 y 64 bits
- Hibernación de Windows de 32 y 64 bits (desde Windows 7 o anterior)
- Archivos Mach-O de 32 y 64 bits
- Volcados de memoria de Virtualbox
- Estado guardado de VMware (.vmss) e instantánea (.vmsn)
- Formato HPAK (FastDump)
- Volcados de memoria QEMU
- Formato LiME
Referencias
- ^ "The Volatility Foundation - Análisis forense de memoria de código abierto".
- ^ Petroni, NL, Walters, A., Fraser, T. y Arbaugh, WA (2006). FATKit: un marco para la extracción y el análisis de datos forenses digitales de la memoria volátil del sistema . Digital Investigation, 3(4), 197-210.
- ^ Walters, A., y Petroni, NL (2007). Volatools: Integración de la memoria volátil en el proceso de investigación digital. Black Hat Briefings DC 2007, 1-18.
- ^ "volatilityfoundation/volatility". GitHub . Consultado el 25 de diciembre de 2020 .