Análisis Forense de Memoria RAM III. Interfaz gráfica para análisis de memoria Ram (Evolve).

El fin de la trilogía “Volátil”

Muy buenas a todos/as. Esto tenía que llegar amigos, había que poner un fin al análisis de volcados de RAM y este post es una buena manera de hacerlo, vamos a aprender a analizar un volcado de RAM con interfaz gráfica.

En este camino, hemos aprendido a realizar un volcado de RAM en Linux (aquí), después aprendimos a crear un profile en Linux para poder analizar ese volcado de memoria y comenzamos a analizarlo tirando de terminal (aquí), ahora vamos a analizarlo desde una interfaz gráfica.

La pregunta es ¿y para qué necesito hacerlo así? Obviamente, esto no es ni preciso, ni necesario, pero por experiencia propia, os aseguro que si tenéis que ir a sala a exponer lo hallado a personas no formadas en estas materias, el hacerlo desde una interfaz gráfica lo hace lógicamente, mucho más fácil de asimilar y entender. De modo que a vuestra elección lo dejo, yo os indico el camino, vosotros elegís la dirección.

Empecemos, Evolve es un proyecto que está disponible para descarga en github en la siguiente url: https://github.com/JamesHabben/evolve.

La verdad es que está un poquito sin actualizar, pero lo cierto es que funciona muy bien a día de hoy. ¿Qué es evolve? Es una interfaz web para análisis de volcados de memoria. Una GUI web, así de simple. ¿Para qué puede servirnos? Para muchas cosas, al margen de lo comentado anteriormente nos permite realizar varios scripts y guardar los resultados para continuar en otro momento si fuera preciso.

¿Cómo guarda los resultados? De una manera muy elegante, en el mismo directorio donde esta la imagen del volcado de RAM queda un archivo en formato sqlite con los resultados de las búsquedas que realicemos nosotros.

Requisitos

Muy pocos, tan solo instalar ciertas librerías :

Una vez está hecho y con volatility instalado ya en nuestro equipo y las librerías ya instaladas…

Nos bajamos evolve…

Entramos dentro…

Tan solo quedar correr la siguiente línea:

Con –p indicamos el puerto por el que nos conectaremos (en este caso 8080), con –f le indicaremos la imagen que queremos que analice y con –profile le decimos que profile debe usar.

Este, amigos míos, es el resultado…

Elegimos en el árbol de la izquierda que queremos analizar, por ejemplo historial de bash y…

En el árbol de la izquierda se puede ver las posibles opciones de los plugins. Una vez se selecciona un plugin, este se pone a desempeñar su labor y una vez la acaba, pasa de run a show. ¡Y se produce el milagro! (Demasiado bíblico ¿verdad?)

Más ejemplos de uso…

Una vez se ha acabado el análisis, en el mismo directorio donde está el archivo de memoria volcada, queda un archivo sqlite con los resultados de todo aquellas consultas que hemos realizado.

Para muestra un par de ejemplos:

Por dar ideas y líneas de investigación, volatility está escrito en Python, evolve está escrito en Python y desde python es muy, muy fácil trabajar con sqlite. Imaginad cuantas posibilidades de trasteo y automatización.

¡Hasta la próxima!

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *