Red Seguridad 090

62 red seguridad tercer trimestre 2020 opinión forense monográfico Analizar librerías DLL y los ficheros abiertos por procesos en ejecu- ción. Investigar si existen evidencias de inyección de código malicioso. Investigar si existen signos de pre- sencia Rootkits en el sistema. Extraer ficheros ejecutables, drivers y objetos creados en memoria. Utilizar reglas yara para realizar bús- quedas en el espacio de memoria. Además de todas las funcionali- dades que ofrece esta herramienta, otra de las ventajas es que está soportada por una comunidad muy activa, que la mantiene actualizada y en continua evolución. Volatility v3 Con toda probabilidad, la versión de Volatility más utilizada hasta el momento es la v2.6. Sin embar- go, la Volatility Foundation publica desde 2019 una nueva versión rees- crita desde cero y con varios cam- bios respecto a la versión v2.6 de la herramienta, dándola a conocer como Volatility v3.0 . Esta nueva versión se ha diseñado para ser una librería, lo que significa que los componentes son indepen- dientes y los plugins son autocon- tenidos. Volatility v3 ya no utiliza la directiva profile para definir el tipo de imagen utilizada, ahora incluye librerías de tablas de símbolos que cumplen la misma función. También permite generar nuevas tablas de símbolos a partir de la imagen de memoria a analizar. La velocidad de procesamiento ha sido también mejorada en esta nueva versión. Volatility 2 estaba diseñado con la premisa de poder analizar memoria en tiempo real, por lo que la memoria se leía múltiples veces dentro de una misma ejecu- ción del comando. En esta versión v3 se sacrifica esta característica, haciendo una única lectura durante la creación de las estructuras de datos. Referencias https://www.volatilityfoundation.org/ https://digital-forensics.sans.org/ media/volatility-memory-forensics- cheat-sheet.pdf https://github.com/volatilityfoun- dation/volatility3 Figura 3.