volatility dump information mémoire

Dans un précédent billet, j’avais parler des dump mémoires : http://www.malekal.com/2011/11/29/dump-string-memoire-dun-processus/
Voici un billet qui présente rapidement volatily qui est un projet qui permet d’extraire des informations mémoire.
volatily peux être utilisé sous Linux ou Windows, directement sur le système ou depuis le snapshot mémoire d’une VM.
Cela peux permettre l’analyse malicieuse ou extraire des données pour les développeurs ou administrateurs systèmes.

Dans ce billet, ce seront des dumps mémoires de VMware.

Le lien du projet : https://code.google.com/p/volatility/

Pour l’installation se reporter à la page suivante : https://code.google.com/p/volatility/wiki/FullInstallation 

Voici la liste des plugins  – bien entendu on peux en ajouter.
La liste depuis le wiki officiel : https://code.google.com/p/volatility/wiki/FeaturesByPlugin21

La syntaxe est en général : python vol.py -f fichierdump plugin paramètre_plugin

Sur Vmware les dump mémoire ont une extension .vme
La liste des snapshots d’une VM est disponible dans le fichier vmsd

Exemple ci-dessous avec le plugin pslist qui liste les processus d’une Vm : 

On retrouve deux processus usyf.exe et ogpos.exe qui sont du Trojan.Zbot
Ces processus ne sont pas visibles depuis la machine infectée.
Par contre, les clefs Run confirment bien l’existence de ces fichiers.

Clefs Run que l’on peux aussi lister par le plugin printkey : /usr/local/bin/vol.py –plugins=/usr/local/lib/python2.7/dist-packages/volatility/plugins/ -f /stockage/vm/TestMalwares/TestMalwares/TestMalwares-Snapshot295.vmem –profile= »WinXPSP2x86″ printkey -K « Software\Microsoft\Windows\CurrentVersion\Run »

Il est aussi possible de dumper un executable via le plugin procmemdump :


ou récupérer les mutex avec le plugin mutantscan :

La liste des plugins est assez longue et touche pas mal de domaines : les processus, le registre, les services, la mémoire, le kernel et le réseau.
Se reporter à la page des plugins pour plus de détails : https://code.google.com/p/volatility/wiki/FeaturesByPlugin21

Il est possible de développer ses pluggins, c’est par exemple le cas du projet yara : http://code.google.com/p/yara-project/


Par exemple ci-dessous, on peux chercher par packer : http://code.google.com/p/yara-project/wiki/PackerRules
Dans mon cas, la rule devait générer des faux positif car des processus systèmes étaient en Armadillo.

On peux aussi chercher des strings en mémoire : http://code.google.com/p/volatility/wiki/CommandReference21#yarascan

 

Un projet à la mode qui peux s’avérer utile dans la recherche de malware automatisé ou pour des administrateurs systèmes notamment VMware.
Dans mon cas, en ce qui concerne l’analyse de malware, je préfére utiliser des programmes sur la machine hôte, c’est beaucoup plus facile.
Néanmoins volatility peux être utile dans certains cas particulier, par exemple, pour dumper un malware depuis un ransomware ou certains infos comme la mémoire d’un processus.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 240 times, 3 visits today)

2 thoughts on “volatility dump information mémoire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *