Volatility Framework
O que é Volatility Framework?
Volatility FrameworkFramework open source de forense de memoria, criado originalmente por Aaron Walters e a Volatility Foundation, para extrair artefactos digitais de imagens de memoria volatil (RAM).
O Volatility Framework e o kit de ferramentas open source de referencia para forense de memoria. Lancado originalmente em 2007 por Aaron Walters e outros como Volatility Project, e atualmente mantido pela Volatility Foundation. Analisa capturas brutas de memoria (dumps de RAM, ficheiros de hibernacao, pagefiles, snapshots de VMware/VirtualBox) em Windows, Linux e macOS. Os investigadores usam-no para enumerar processos, conexoes de rede, DLLs carregadas, hives do registro, modulos do kernel e indicadores de rootkit, mesmo apos o sistema ser desligado. O Volatility 2 e escrito em Python 2 e foi durante anos o padrao; o Volatility 3, lancado em 2020, e uma reescrita em Python 3 com gestao automatica de simbolos. E componente central dos playbooks de resposta a incidentes e e amplamente usado em triagem de malware e investigacoes APT.
● Exemplos
- 01
Executar 'vol.py windows.pslist' sobre uma imagem de memoria adquirida para listar processos em execucao e identificar binarios com process hollowing.
- 02
Usar 'windows.malfind' para extrair regioes de shellcode injetado durante uma investigacao de ransomware.
● Perguntas frequentes
O que é Volatility Framework?
Framework open source de forense de memoria, criado originalmente por Aaron Walters e a Volatility Foundation, para extrair artefactos digitais de imagens de memoria volatil (RAM). Pertence à categoria Forense e resposta da cibersegurança.
O que significa Volatility Framework?
Framework open source de forense de memoria, criado originalmente por Aaron Walters e a Volatility Foundation, para extrair artefactos digitais de imagens de memoria volatil (RAM).
Como funciona Volatility Framework?
O Volatility Framework e o kit de ferramentas open source de referencia para forense de memoria. Lancado originalmente em 2007 por Aaron Walters e outros como Volatility Project, e atualmente mantido pela Volatility Foundation. Analisa capturas brutas de memoria (dumps de RAM, ficheiros de hibernacao, pagefiles, snapshots de VMware/VirtualBox) em Windows, Linux e macOS. Os investigadores usam-no para enumerar processos, conexoes de rede, DLLs carregadas, hives do registro, modulos do kernel e indicadores de rootkit, mesmo apos o sistema ser desligado. O Volatility 2 e escrito em Python 2 e foi durante anos o padrao; o Volatility 3, lancado em 2020, e uma reescrita em Python 3 com gestao automatica de simbolos. E componente central dos playbooks de resposta a incidentes e e amplamente usado em triagem de malware e investigacoes APT.
Como se defender contra Volatility Framework?
As defesas contra Volatility Framework costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Volatility Framework?
Nomes alternativos comuns: Volatility, vol.py, Volatility 3.
● Termos relacionados
- forensics-ir№ 668
Forense de memória
Disciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
- forensics-ir№ 426
Imagem forense
Cópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
- forensics-ir№ 650
Análise de malware
Estudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- forensics-ir№ 1156
Análise de linha do tempo
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.