Volatility2 para novatos

Para poder usar Volatility2 en nuestro equipo necesitamos Python 2.XX, si se tiene la versión 3 pueden haber problemas a la hora de ejecutar comandos.

Cuando tenemos un dump de memoria lo primero que debemos hacer es identificar el sistema operativo ya que en función de sobre cual estemos haciendo el análisis forense es posible que necesitemos un perfil u otro. Para revisar la información del dump de memoria se usa el siguiente comando:

.\vol.exe -f <Ruta_del_dump_de_memoria> imageinfo

Un ejemplo real de la ejecución del comando sería el siguiente:

En este caso podemos ver que se recomiendan varios perfiles, por lo que seleccionaremos uno de ellos y procederemos en el futuro con este. En este caso se elige el perfil “Win7SP1x64”

Para obtener el historial de comandos de un usuario se utiliza el siguiente comando poniendo la ubicación del dump de memoria y el perfil que seleccionamos en el paso anterior:

.\vol.exe -f <Ruta_del_dump_de_memoria> --profile=<Perfil_Seleccionado> consoles

Siguiendo el ejemplo anterior, se usaría el comando de la siguiente manera: