Perícia forense em memória volátil: identificando a ação de malwares

Abstract

O presente trabalho busca mostrar as vantagens que a análise de memória RAM pode trazer para a área de perícia forense. Demonstrando como a técnica de extração do dump de memória pode fornecer uma visão apurada e completa do sistema operacional. E de que forma um perito pode se valer das informações obtidas através do dump para encontrar indícios de ação de códigos maliciosos no sistema operacional Microsoft Windows. Foram utilizadas demonstrações práticas de como extrair o dump, através do software gratuito Moonsols DumpIt e de como analisa-lo através da ferramenta open source Volatility Framework. Obteve-se sucesso na identificação de dois malwares conhecidos – Zeus e Prolaco -, através de amostras de memoria de maquinas virtuais infectadas – fornecidas pelo fórum da comunidade Volatility e de descrições de como os mesmos agem – descrições fornecidas por empresas especializadas em segurança da informação