Análise de Memória Volátil com o Volatility 3: teoria e prática

 do inicial ao avançado

Apresentação

A atuação de um perito, seja em uma diligência de busca e apreensão, ou sendo o primeiro a responder a um incidente, ou a uma emergência computacional, deve ser orientada por algumas normas e procedimentos encontrados, em linguagem simples, e de maneira ordenada, na NBR ISO/IEC 27037 e na RFC 3227. Estes documentos especificam como deve ser realizada a Cadeia de Custódia, esta que representa o tipo de ação principal durante a coleta, a aquisição e o armazenamento de evidências e que, ao ser seguido corretamente, deixa o laudo pericial robusto e resistente aos tipos de impugnação mais comuns que, em sua grande maioria, apontam para falhas cometidas durante estas fases.

Para que informações importantes não sejam perdidas e o material coletado seja considerado íntegro, sem qualquer vestígio de manipulação, é necessário observar quais dispositivos computacionais estão em funcionamento e quais não estão. Este curso dinâmico traz conceitos importantes, referentes à aplicação correta da Cadeia de Custódia aos equipamentos que estiverem em execução; uma breve explicação sobre a ordem de volatilidade das evidências, ou seja, em quais componentes do sistema as informações se perdem com mais facilidade e rapidez; e foco principal na versão mais recente de uma das principais e melhores ferramenta para análise de evidências voláteis, o Volatility 3.

A fase correspondente, a análise de um dump de memória RAM, será realizada, em tempo real. Através dos diversos plugins do Volatility 3, serão visualizados os processos executados, ou em execução; quais comandos estes processos, por sua vez, estavam executando; dados sobre os horários de início, término e duração de cada processo; se há ou não um malware em ação; quais conexões foram estabelecidas e se ainda permanecem abertas e/ou foram fechadas, entre diversas outras evidências consideradas relevantes para um determinado tipo de perícia e que serão vistas durante a utilização da ferramenta. 

Objetivos

• Orientar as melhores práticas para coleta, aquisição e armazenamento; 

• Esclarecer a diferença entre coleta e aquisição;

• Explicar o que é uma evidência volátil, sua importância e tempo de existência;

• Comparar as duas últimas versões do Volatility, seus pontos fortes e fracos;

• Descrever toda a preparação do ambiente onde o Volatility 3 será utilizado;

• Exemplificar a nova sintaxe de comando;

• Apresentar novos plugins e suas funcionalidades;

• Fornecer dicas de formatos para saída dos resultados de cada plugin

Público Alvo

Profissionais da área de Tecnologia da Informação; peritos; assistentes técnicos, estudantes, profissionais de áreas variadas e afins ou qualquer pessoa que tenha o desejo de conhecer ou ter mais informações sobre a nova versão do Volatility.

Modalidade

Este curso será ministrado no formato de aulas ao vivo (via transmissão on-line), permitindo ao aluno total interação com o professor e os alunos, aumentando também o networking. Para um melhor aproveitamento do tempo, todos aqueles que adquirirem o curso, terão acesso a uma aula gravada com procedimentos iniciais que podem ser compreendidos como pré-requisitos operacionais. Serão informados links para baixar a ISO do Windows 10 e a VMWare, para quem quiser utilizar uma máquina virtual, não sendo obrigatório o uso desta, uma vez que existem aqueles que preferem o Virtual Box. Além da configuração da VM e da instalação do sistema, nesta aula, também será preparado o ambiente em Python, desde a sua instalação até a configuração das dependências necessárias para que o Volatility 3 possa funcionar. Por fim, é mostrado o local onde o arquivo de dump de memória, que será utilizado nas demonstrações práticas, estará disponível para download. As aulas ao vivo serão gravadas e disponibilizadas, posteriormente, para os alunos assistirem offline, pelo período de 03 meses.

As aulas foram planejadas para possibilitar aos alunos, entenderem o contexto, aprenderem a teoria e aplicá-la na prática, através das demonstrações que irão assistir e dos exercícios de laboratório que irão realizar. 

Pré-requisitos

O curso exige conhecimento básico de informática, interesse e disposição para novos aprendizados e um equipamento com, no mínimo, 4 GB de RAM, HDD ou SSD com, pelo menos, 80GB livres, processador i3 ou similar e conexão de Internet estável. 



Apresentação do Professor

Vladimir Rodrigues, especializado em Perícia Forense Digital, em análise e investigação de fraude e autofraude e em técnicas de investigação OSINT. Profissional que trabalha há mais de 20 anos no setor de crédito, passando por financeiras, bancos e correspondentes bancários.

Graduado em Segurança da Informação pela UNIP – Universidade Paulista; Pós-graduado em Forense Computacional pela Uniciv; Pós-graduando em Perícia Criminal e Judicial; Pós-graduando em Inteligência de Estado e Inteligência Policial; Certificado em Planejamento e Gestão de Projetos pelo PMI (Project Management Institute); Certificado ISFS – Information Security Foundation baseado na ISO/IEC 27001 pela Exin; Certificado CSCU - Certified Secure Computer User, pela EC-Council; além de variados cursos técnicos abrangendo diversos aspectos das perícias judicial e forense computacional e das ferramentas utilizadas; OSINT – investigação em fontes abertas; documentoscopia; crimes digitais e meios de provas forenses; pentest, cibersegurança, entre outros.

Conteúdo Programático



1. Aula Gravada – Preparação do ambiente operacional 



Conceitos iniciais 

Máquina Virtual

Arquivo de Imagem do Windows 10

Configuração do Python

Instalação de dependências 

2. Primeira aula ao-vivo 

Cadeia de Custódia

Coleta X aquisição X armazenamento

Conceito e ordem de volatilidade

Memória volátil

Sugestões de softwares e dispositivos para aquisição e armazenamento

O que é Volatility

Volatility 2.6 X Volatility 3

Instalação do Volatility 3

3. Segunda aula ao-vivo 

Criação dos diretórios que serão utilizados

Utilização prática do Volatility com seus principais plugins

Comparação e correlação entre os plugins das duas versões do Volatility

Conclusão