Hola,
Tenía el tema en la recámara, ya que hoy mismo el amigo José Miguel me ha escrito al correo informando sobre la aparición de Volatility. No conocía este framework, y de hecho, le pregunté a José Miguel si tenía alguna referencia en línea para documentarme al respecto.
Curiosamente, he visto una entrada en Forensic Blog, donde también se habla de la publicación de la versión 1.1.2 de Volatility, lo que ha terminado de despertar mi curiosidad :)
Volatility es un marco de trabajo para el análisis forense y la extracción de evidencias digitales de memorias volátiles (RAM). Incluye un conjunto de herramientas Python, y disponibles según GPL, que permiten ejecutar distintos tipos de extracción forense en memorias. Las tareas que facilita Volatility son las siguientes:
* Extracción de tiempo y fecha
* Procesos en ejecución
* Sockets abiertos
* Conexiones de red abiertas
* DLLs cargadas para cada proceso en ejecución
* Ficheros abiertos para cada proceso
* Módulos de kernel presentes
* Mapeo de cadenas a procesos
* Información sobre descriptores Virtual Address Descriptor
Al ser Python, Volatility debería funcionar en cualquier equipo que soporte este lenguaje, habiendo sido probado con éxito en Linux, Cygwin y OSX 10.5. No debería dar problemas en Microsoft Windows XP SP2 y SP3. Se puede descargar Volatility en https://volatilesystems.com/default/volatility
PD: En NIST tienen algunos ejemplos de imágenes que podéis utilizar para el análisis forense de las mismas. Están disponibles en http://www.cfreds.nist.gov/mem/memory-images.rar
Un saludo.
Como extraigo un archivo con vilatility de la imagen de la memoria para analizarlo mas exaustivamente