Aquí encontrarás ejemplos prácticos de cómo usar Volatility 3 para analizar imágenes de memoria. Cada ejemplo incluye el comando necesario, una explicación detallada y el resultado esperado.
Información del Sistema
Obtener información básica sobre el sistema operativo y la memoria
Comando:
vol.py -f memoria.raw windows.infoExplicación:
- Este comando muestra información básica sobre el sistema operativo y la memoria
- Incluye detalles como la versión del sistema operativo, la arquitectura y el tipo de memoria
- Es útil para verificar que la imagen de memoria es compatible con Volatility
Resultado Esperado:
Volatility Foundation Volatility Framework 3.0.0
Windows 10 19045 64-bit
Kernel base: 0xfffff80000000000
Pagefile base: 0xfffff90000000000
Os version: 10.0.19045
Build: 19045
Architecture: x64
Memory Size: 16 GB
Listar Procesos
Ver todos los procesos que estaban ejecutándose en el sistema
Comando:
vol.py -f memoria.raw windows.pslistExplicación:
- Muestra una lista de todos los procesos activos en el momento de la captura
- Incluye información como el PID, el nombre del proceso y el tiempo de inicio
- Útil para identificar procesos sospechosos o maliciosos
Resultado Esperado:
Offset (V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
-------------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x8b717f20 System 4 0 136 0 0 No 2025-03-30 18:04:23 2025-03-30 18:45:01
0x8b728620 smss.exe 500 4 2 14 0 No 2025-03-30 18:04:25 -
0x8b71aaf0 csrss.exe 650 500 12 24 1 No 2025-03-30 18:04:27 -
0x8b733170 winlogon.exe 700 650 10 30 1 No 2025-03-30 18:04:29 -
0x8b74f780 explorer.exe 1234 700 75 100 1 Yes 2025-03-30 18:10:00 -Ver Conexiones de Red
Mostrar las conexiones de red activas
Comando:
vol.py -f memoria.raw windows.netscanExplicación:
- Lista todas las conexiones de red activas en el momento de la captura
- Muestra direcciones IP locales y remotas, puertos y estados de conexión
- Ayuda a identificar conexiones sospechosas o malware que se comunica con servidores remotos
Resultado Esperado:
Offset (V) Proto LocalAddr LocalPort RemoteAddr RemotePort State PID Owner
-------------- -------- ------------ ----------- ------------- ------------ ----------- ------ -------------
0x8b730030 TCP 192.168.1.5 443 93.184.216.34 80 ESTABLISHED 1234 chrome.exe
0x8b731f40 UDP 192.168.1.5 12345 0.0.0.0 0 LISTENING 2345 explorer.exe
0x8b7325c0 TCP 192.168.1.5 135 93.184.216.34 443 TIME_WAIT 5678 svchost.exeVer DLLs Cargadas
Mostrar las DLLs cargadas por cada proceso
Comando:
vol.py -f memoria.raw windows.dlllistExplicación:
- Muestra todas las DLLs cargadas por cada proceso
- Útil para identificar malware que inyecta DLLs maliciosas
- Ayuda a detectar técnicas de evasión de detección
Resultado Esperado:
Process: explorer.exe Pid: 1234
Base Size LoadCount Path
0x00000000 0x00000000 0x00000000 C:\Windows\System32\kernel32.dll
0x00000000 0x00000000 0x00000000 C:\Windows\System32\user32.dll
0x00000000 0x00000000 0x00000000 C:\Windows\System32\gdi32.dllVer Handles de Procesos
Mostrar los handles abiertos por cada proceso
Comando:
vol.py -f memoria.raw windows.handlesExplicación:
- Lista todos los handles abiertos por cada proceso
- Ayuda a identificar recursos que los procesos están utilizando
- Útil para detectar malware que manipula handles del sistema
Resultado Esperado:
Process: explorer.exe Pid: 1234
Handle Type Name
0x00000000 File C:\Windows\System32\kernel32.dll
0x00000001 Registry SOFTWARE\Microsoft\Windows\CurrentVersion\Run
0x00000002 File C:\Users\User\Documents\suspicious.exeVer Variables de Entorno
Mostrar las variables de entorno de cada proceso
Comando:
vol.py -f memoria.raw windows.envarsExplicación:
- Muestra las variables de entorno de cada proceso
- Útil para identificar configuraciones maliciosas
- Ayuda a detectar malware que modifica variables de entorno
Resultado Esperado:
Process: explorer.exe Pid: 1234
Variable Value
PATH C:\Windows\System32
TEMP C:\Users\User\AppData\Local\Temp
USERNAME UserVer Módulos del Kernel
Mostrar los módulos cargados en el kernel
Comando:
vol.py -f memoria.raw windows.modulesExplicación:
- Lista todos los módulos cargados en el kernel
- Ayuda a identificar drivers maliciosos
- Útil para detectar rootkits
Resultado Esperado:
Base Size Name
0xfffff800 0x00000000 ntoskrnl.exe
0xfffff900 0x00000000 hal.dll
0xfffff800 0x00000000 ksecdd.sysVer Servicios
Mostrar los servicios del sistema
Comando:
vol.py -f memoria.raw windows.svcscanExplicación:
- Muestra todos los servicios del sistema
- Ayuda a identificar servicios maliciosos
- Útil para detectar malware que se instala como servicio
Resultado Esperado:
Offset: 0x8b717f20
Order: 1
Process ID: 1234
Service Name: MalwareSvc
Status: RunningVer Archivos Abiertos
Mostrar los archivos abiertos por cada proceso
Comando:
vol.py -f memoria.raw windows.filescanExplicación:
- Muestra todos los archivos abiertos por cada proceso
- Ayuda a identificar archivos maliciosos
- Útil para detectar malware que manipula archivos del sistema
Resultado Esperado:
Offset Ptr #Ptr Handle Access Name
0x00000000 0x00000000 0x00000000 0x00000000 0x00000000 C:\Windows\System32\kernel32.dll
0x00000001 0x00000000 0x00000000 0x00000000 0x00000001 C:\Users\User\Documents\malware.exeVer Registro de Windows
Mostrar las claves del registro de Windows
Comando:
vol.py -f memoria.raw windows.registry.printkeyExplicación:
- Muestra las claves del registro de Windows
- Ayuda a identificar modificaciones maliciosas
- Útil para detectar malware que modifica el registro
Resultado Esperado:
Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Last updated: 2025-03-30 18:15:00
Value Name: SuspiciousApp
Data: C:\Users\User\AppData\Local\malware.exeVer Módulos de Memoria
Mostrar los módulos de memoria
Comando:
vol.py -f memoria.raw windows.modscanExplicación:
- Lista todos los módulos de memoria
- Ayuda a identificar módulos maliciosos
- Útil para detectar malware que inyecta código en memoria
Resultado Esperado:
Base Size Name
0xfffff800 0x00000000 ntoskrnl.exe
0xfffff900 0x00000000 injected_module.sys