Diferencias

Muestra las diferencias entre dos versiones de la página.

--- master_cs:analisis_forense:restxt [2025/07/01 12:59] – thejuanvisu
+++ master_cs:analisis_forense:restxt [2025/07/01 13:33] (actual) – thejuanvisu
@@ Línea 461: / Línea 461: @@
+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+Volatility
+Es un framework forense de memoria RAM de código abierto. Se puede usar para el análisis y extracción de datos volátiles de sistemas en ejecución. Permite:
+- Analizar dumps de memoria
+- Identificar procesos, conexiones de red y módulos cargados
+- Detectar malware en memoria.
+Versiones de Volatility:
+- Volatility2:
+  * Descontinuado
+  * Basado en Perfiles estáticos
+  * Plugins asociados a perfiles de memoria concretos
+- Volatility3:
+  * Los perfiles de memoria funcionan de forma dinámica
+  * Los plugins se basan en el modelo de objeto
+Perfiles de Memoria y Symbol Tables
+- Perfiles de memoria (Volatility2)
+  * Permiten intempretar correctamente la estructura interna de un volcado de memoria
+  * Así se pueden identificar procesos, módulos, conexiones y otros datos del SO
+  * Puede ser válido para más de una versión de un SO.
+- Symbol Tables (Volatility 3)
+  * Se encargan de representar las estructuras de memoria del SO
+Comandos importantes de volatility2:
+- imageinfo: Permite ver datos del volcado de memoria y sugiere que perfiles podemos usar -> volatility2 -f /eivdencia.raw imageinfo
+- pslist: permite ver los procesos en ejecución -> volatility2 -f /evidencia.raw --profile=<perfil> pslist
+- netscan: Detecta las conexiones activas -> volatility2 -f /evidencia.raw --profile=<perfil> netscan
+- cmdscan: Extrae el historial de comandos -> volatility2 -f /evidencia.raw --profile=<perfil> cmdscan
+- filescan: Lista los archivos cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> filescan
+- dumpfiles: Permite extraer ficheros de la memoria -> volatility2 -f /evidencia.raw --profile=<perfil> dumpfiles -Q <Dirección de Memoria> -D <Destino para guardar archivo>
+- clipboard: Muestra los contenidos del portapapeles -> volatility2 -f /evidencia.raw --profile=<perfil> clipboard
+- procdump: Extrae la memoria correspondiente a un proceso -> volatility2 -f /evidencia.raw --profile=<perfil> procdump -p <ID del Proceos> -D <Destino para guardar el archivo>
+- hivelist: Lista los gives del registro cargados en memoria -> volatility2 -f /evidencia.raw --profile=<perfil> hivelist
+- hivedump: Muestra las subclaves de un hive -> volatility2 -f /evidencia.raw --profile=<perfil> hivedump -o <Direccion de memoria>
+- hashdump: Extrae los hashes de contraseñas de los usuarios -> volatility2 -f /evidencia.raw --profile=<perfil> hashdump
+Comandos importantes volatility3:
+- windows.info.Info: Muestra información sobre el volcado (Similar a imageinfo) -> volatility3 windows.info.Info
+- Windows.pslist: lista los procesos en ejecución -> volatility3 windows.pslist
+- windows.netscan: Detecta las conexiones activas -> volatility3 windows.netscan
+- windows.cmdscan: Extrae el historial de cmoandos -> volatility3 windows.cmdscan
+- windows.filescan: Lista los archivos cargados en memoria -> -> volatility3 windows.filescan
+- windows.dumpfiles: Extrae un fichero concreto de memoria o de un proceso
+  * volatility3 windows.dumpfiles --virtaddr <dirección de memoria>
+  * volatility3 windows.dumpfiles --pid <ID de proceso>
+- windows.registry.hivelist: Lista los hives de registro cargados en memoria -> volatility3 windows.registry.hivelist
+- windows.hashdump: extrae los hashes de las contraseñas de los usuarios -> volatility3 windows.hashdump
 </code>

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página