Herramientas de usuario
master_cs:analisis_forense:volatility2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
| master_cs:analisis_forense:volatility2 [2025/05/14 20:44] – creado thejuanvisu | master_cs:analisis_forense:volatility2 [2025/05/14 21:04] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 2: | Línea 2: | ||
| Para poder usar Volatility2 en nuestro equipo necesitamos Python 2.XX, si se tiene la versión 3 pueden haber problemas a la hora de ejecutar comandos. | Para poder usar Volatility2 en nuestro equipo necesitamos Python 2.XX, si se tiene la versión 3 pueden haber problemas a la hora de ejecutar comandos. | ||
| + | |||
| + | |||
| + | ===== Primeros pasos ===== | ||
| + | Cuando tenemos un dump de memoria lo primero que debemos hacer es identificar el sistema operativo ya que en función de sobre cual estemos haciendo el análisis forense es posible que necesitemos un perfil u otro. Para revisar la información del dump de memoria se usa el siguiente comando: | ||
| + | < | ||
| + | .\vol.exe -f < | ||
| + | </ | ||
| + | Un ejemplo real de la ejecución del comando sería el siguiente: | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | En este caso podemos ver que se recomiendan varios perfiles, por lo que seleccionaremos uno de ellos y procederemos en el futuro con este. En este caso se elige el perfil " | ||
| + | |||
| + | ===== Obtener el historial de comandos con volatility2 ===== | ||
| + | |||
| + | Para obtener el historial de comandos de un usuario se utiliza el siguiente comando poniendo la ubicación del dump de memoria y el perfil que seleccionamos en el paso anterior: | ||
| + | < | ||
| + | .\vol.exe -f < | ||
| + | </ | ||
| + | Siguiendo el ejemplo anterior, se usaría el comando de la siguiente manera: | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
master_cs/analisis_forense/volatility2.1747255491.txt.gz · Última modificación: 2025/05/14 20:44 por thejuanvisu
Herramientas de la página
