Volatilily

Uncategorized

Volatility es una herramienta de código abierto avanzada para análisis forense de memoria RAM (memory forensics), esencial en ciberseguridad para investigar incidentes, malware y evidencia volátil en Windows, Linux y macOS.

Instalación

  • Kali Linux (recomendado para ti): sudo apt install volatility (versión 3.x preinstalada).
  • Python standalonepip install volatility3 o clona desde GitHub (volatilityfoundation/volatility3).
  • Captura RAM previa: Usa DumpIt (Windows), LiME (Linux) o AVML (Mac).

Comandos clave (Volatility 3)

textvol -f memoria.raw windows.info          # Perfil SO y DTB
vol -f memoria.raw windows.pslist        # Procesos activos
vol -f memoria.raw windows.pstree        # Árbol procesos
vol -f memoria.raw windows.netscan       # Conexiones red
vol -f memoria.raw windows.filescan      # Archivos abiertos
vol -f memoria.raw windows.cmdline       # Argumentos CMD
vol -f memoria.raw windows.handles       # Handles abiertos
vol -f memoria.raw windows.dumpfiles --pid <PID> --dump-dir ./extraidos/

Flujo típico forense

  1. imageinfo: Detecta perfil (Win10x64, Linux x86).
  2. pslist/psscan/psxview: Encuentra procesos ocultos/malware.
  3. netscan/connections: IPs C2, puertos sospechosos.
  4. malfind/vadinfo: Inyecciones código malicioso.
  5. hashdump/lsadump: Extrae hashes NTLM/SAM (credenciales).
  6. Dump malwareprocdump/memdump para YARA/Reversing.

Integración con tus labs

  • Combina con Autopsy (ingesta RAM dumps).
  • Usa en TryHackMe (Memory Forensics rooms) o CTFs OSCP.
  • Detecta BitLocker keys en RAM: windows.dpcl o plugins custom.

Recursos en español (prácticos)

Practica con dumps de CyberDefenders o MemDFIR; Volatility3 es más rápida y soporta Win11/Server 2022.

“Autopsity” es una plataforma forense digital open-source clave en ciberseguridad para analizar discos, RAM, móviles y artefactos en incidentes DFIR [Digital Forensics and Incident Response (Análisis Forense Digital y Respuesta a Incidentes)].

Ventajas en ciberseguridad

  • Integración total: Combina The Sleuth Kit con módulos para timelines (MFT/Registro), hashing (NSRL), carving de archivos eliminados, USB history, web history y malware IOCs.
  • Para tu perfil: Ideal para labs TryHackMe, INCIBE cursos o UBU CSIRT; recupera Prefetch, Amcache, BitLocker keys de RAM dumps (integra Volatility).

Configuración avanzada

text# Kali: sudo autopsy
# Caso nuevo: Add Data Source → Disco/imagen (.dd/.E01)
# Ingest: Todos módulos → Keyword Search, Recent Activity, Hash DB
  • Timeline: Correlaciona accesos ZIP, USB, logs.
  • Plugins: YARA para malware, Android Analyzer, Report Manager.

Mejores prácticas

  • Usa write blocker hardware antes de ingerir.
  • Exporta reportes HTML con evidencias para judicial (GDPR compliant).
  • Combina con Volatility (RAM) y Wireshark (pcap).

Recursos prácticos (español)

Practica con datasets CFReDS o tu VM forense; acelera tu path a OSCP/SC-200.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *