ANÁLISIS FORENSE EN LINUX: ANALIZANDO LA MEMORIA RAM CON VOLATILITY

Tema en 'GNU/Linux' comenzado por Howard Smith, 12 de Septiembre de 2017.

  1. Howard Smith

    Howard Smith Member

    INSTALAR EL SSH SERVER

    Código (Text):
    root@kali~:# apt-get install openssh-server
    root@kali~:# update-rc.d -f ssh remove
    root@kali~:# update-rc.d -f ssh defaults
    root@kali:~#  cd /etc/ssh/
    root@kali:/etc/ssh# mkdir insecure_original_default_kali_keys
    root@kali:/etc/ssh# mv ssh_host_* insecure_original_default_kali_keys/
    root@kali:/etc/ssh# dpkg-reconfigure openssh-server
    root@kali: nano /etc/ssh/sshd_config   <---- MODIFICAR EL ARCHIVO
    a) change line "PermitRootLogin without-password "
    b) Se verá de la siguiente manera "PermitRootLogin yes"
    root@kali: service ssh restart
    EXTRAER EL ARCHIVO DE LA MEMORIA RAM :
    para ello bajamos el programa AccessData_FTK_Imager_4.1.1_x64 este programa capturará todo lo que actualmente existe en la memoria ram .


    EJECUTAR LOS COMANDOS EN LINUX :

    Código (Text):
    volatility imageinfo -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 pslist -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 sessions -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 bioskbd -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 dlllist -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 lineconsole -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 cmdline -f /root/Documents/memdump.mem
    volatility --profile=WinXPSP3x86 cmdscan -f /root/Documents/memdump.mem
    volatility cmdscan -f /root/Documents/memdump.mem
    volatility connscan -f /root/Documents/memdump.mem
    volatility connections -f /root/Documents/memdump.mem
    volatility consoles -f /root/Documents/memdump.mem
     

Comparte esta página