En esta presentación veremos cómo sería posible realizar un análisis forense de la memoria de una máquina virtual VirtualBox con un Ubuntu como sistema operativo invitado utilizando para ello Volatility Framework. A lo largo de la presentación realizaremos una instalación básica de Volatility, la creación del perfil Linux necesario para realizar el análisis de la memoria, la adquisición de la memoria de la máquina virtual en vivo y los primeros pasos de un posterior análisis. Vídeo relacionado: https://www.youtube.com/watch?v=4U9brPaCIcM Artículo relacionado: https://www.luisguillen.com/2018/01/analisis-forense-volatility-virtualbox-ubuntu/

1. www.luisguillen.com
ANÁLISISFORENSE
CONVOLATILITYEN
VIRTUALBOXY
UBUNTU

2. www.luisguillen.com
PASOS
1. Instalar Volatility
2. Crear perfil de Ubuntu
3. Configurar el perfil
4. Adquirir la memoria
5. Analizar la captura

3. www.luisguillen.com
INSTALARVOLATILITY
Paquetes de la distribución obsoletos
Usar la de su página web:
http://www.volatilityfoundation.org/

4. www.luisguillen.com
INSTALARVOLATILITY
wget http://downloads.volatilityfoundation.org/releases/2.6/volat
unzip volatility_2.6_lin64_standalone.zip
sudo mv volatility_2.6_lin64_standalone /opt/volatility
pushd /usr/local/bin
sudo ln -s ../../../opt/volatility/volatility_2.6_lin64_standalon
popd

5. www.luisguillen.com
CREARPERFILDEUBUNTU
Necesario para cada compilación del kernel
Indica dónde están las principales estructuras de
datos del kernel
Cómo se mapean los datos a Volatility

6. www.luisguillen.com
CREARPERFILDEUBUNTU
Hacerlo en máquinas de pruebas NUNCA en
la adquisición.


7. www.luisguillen.com
CREARPERFILDEUBUNTU
apt-get install build-essential linux-headers-`uname -r`
apt-get install dwarfdump volatility-tools
cd /usr/src/volatility-tools/linux
make
zip U1604_`uname -r`.zip module.dwarf /boot/System.map-`uname -r`

8. www.luisguillen.com
CONFIGURARELPERFIL
Copiar el perfil
Crear .volatilityrc en home con:
mkdir -p /opt/volatility/profiles
cp donde_lo_tengamos/U1604_4.4.0-103-generic.zip /opt/volatility/p
[DEFAULT]
PLUGINS=/opt/volatility/profiles

9. www.luisguillen.com
ADQUIRIRLAMEMORIA
vboxmanage debugvm "lamp" dumpvmcore --filename lamp.elf

10. www.luisguillen.com
ANALIZARLACAPTURA
Visualizamos los plugins
Información de la captura
volatility --info | more
volatility -f lamp.elf vboxinfo

11. www.luisguillen.com
ANALIZARLACAPTURA
Listado de plugins Linux
Usando un plugin
volatility --info | grep ^linux_
volatility -f lamp.elf --profile=LinuxU1604_4_4_0-103-genericx64

12. www.luisguillen.com
ANALIZARLACAPTURA
Truquillo…
export VOLATILITY_PROFILE=LinuxU1604_4_4_0-103-genericx64
export VOLATILITY_LOCATION=file:///home/luis/tmp/today/lamp.elf

13. www.luisguillen.com
ANALIZARLACAPTURA
Visualizando los procesos
Visualizando los sockets abiertos
Visualizando los puntos de montaje
volatility linux_psaux
volatility linux_netstat
volatility linux_mount

14. www.luisguillen.com
ARTÍCULOCOMPLETOY
VÍDEOEN
https://www.luisguillen.com/2018/01/analisis-
forense-volatility-virtualbox-ubuntu/