Volatility: Análise Forense de Memória RAM

A análise forense de memória RAM com o Volatility framework é a técnica que separa investigadores medianos de analistas de elite. Enquanto a forense de disco examina o passado — arquivos salvos, registros persistentes — a análise de memória captura o presente: processos em execução, conexões de rede ativas, senhas em texto claro, chaves de criptografia e artefatos de malware que nunca tocam o disco. Para quem investiga incidentes de segurança, malware avançado ou comprometimento de sistemas, o Volatility é simplesmente indispensável.

O cenário de ameaças justifica essa urgência. Segundo o relatório da CrowdStrike de 2024, 75% dos ataques avançados utilizam técnicas fileless — malware que roda inteiramente na memória RAM sem gravar arquivos no disco. Antivírus tradicionais e análise de disco não encontram nada. Apenas a análise de memória volátil revela o que aconteceu. O Volatility, criado por Aaron Walters e mantido pela Volatility Foundation, é o framework open-source mais utilizado do mundo para essa tarefa, com mais de 10 anos de desenvolvimento e uma comunidade ativa de pesquisadores.

O que É Análise de Memória Volátil e Por Que É Crítica

A memória RAM é chamada de "volátil" porque seu conteúdo desaparece quando o computador é desligado. Isso cria tanto um desafio quanto uma oportunidade para investigadores. O desafio é óbvio: se você desligar o computador antes de capturar a memória, as evidências são perdidas para sempre. A oportunidade é que a memória contém informações que não existem em nenhum outro lugar — e que atacantes frequentemente não se preocupam em limpar.

Pense na memória RAM como a mesa de trabalho de um escritório: enquanto alguém está trabalhando, todos os documentos, anotações, ferramentas e referências estão espalhados sobre a mesa. Quando a pessoa vai embora e limpa a mesa, esses itens desaparecem. A análise de disco é como examinar as gavetas e armários depois — você encontra o que foi guardado, mas não o que estava sendo usado ativamente. A análise de memória é como fotografar a mesa enquanto o trabalho acontece, capturando tudo em contexto.

Na prática, a memória RAM de um sistema em execução contém informações extraordinariamente ricas para investigação. Processos em execução com seus argumentos de linha de comando revelam exatamente o que estava rodando — incluindo malware que se disfarça com nomes legítimos. Conexões de rede ativas mostram para onde o sistema estava se comunicando no momento da captura. Chaves de criptografia e senhas frequentemente permanecem em memória em texto claro mesmo quando os dados em disco estão criptografados. Para investigadores de malware e resposta a incidentes, essas informações são o equivalente digital de flagrar um criminoso em ação.

Como Capturar um Dump de Memória RAM

Antes de analisar a memória com o Volatility, é preciso capturá-la — e fazer isso corretamente é tão importante quanto a análise em si. Um dump de memória mal feito pode corromper evidências, perder dados críticos ou até comprometer a cadeia de custódia da investigação.

O princípio fundamental é que a captura de memória deve ser feita com o sistema ligado e funcionando. Isso parece óbvio, mas em cenários de resposta a incidentes, o primeiro impulso de muitas equipes é desligar o computador comprometido — destruindo irrecuperavelmente todas as evidências voláteis. A prática correta é: antes de qualquer outra ação, capture a memória RAM. Depois — e somente depois — prossiga com desligamento, imagem de disco ou outras medidas de contenção.

No Windows, as ferramentas mais utilizadas para captura são o WinPmem (da Volatility Foundation, gratuito), o FTK Imager (da Exterro, também gratuito) e o Belkasoft RAM Capturer. O WinPmem é particularmente recomendado por ser leve, portátil (roda de um pendrive sem instalação) e compatível com o ecossistema Volatility. O comando é simples: winpmem_mini_x64.exe memdump.raw. A captura de 16 GB de RAM leva tipicamente entre 2 e 5 minutos, dependendo da velocidade do armazenamento de destino.

No Linux, o LiME (Linux Memory Extractor) é o padrão da indústria. Ele funciona como módulo de kernel que precisa ser compilado para a versão exata do kernel do sistema alvo — um requisito que exige preparação prévia. Equipes de resposta a incidentes mantêm módulos LiME pré-compilados para as distribuições mais comuns. O comando típico é: insmod lime.ko "path=/mnt/usb/memdump.lime format=lime". Em ambientes virtualizados, a captura pode ser feita via hypervisor sem tocar o guest — VMware permite snapshot de memória, e o KVM/QEMU oferece o comando dump-guest-memory.

Cuidados essenciais durante a captura:

• Salvar o dump em mídia externa (pendrive, disco USB), nunca no disco do sistema investigado
• Documentar data, hora, ferramenta utilizada e hash SHA-256 do dump
• Registrar o modelo/versão do sistema operacional e hardware
• Minimizar atividade no sistema durante a captura para reduzir alterações na memória
• Calcular hash do dump imediatamente após a conclusão

Volatility Framework: Instalação e Primeiros Passos

O Volatility existe em duas versões principais: Volatility 2 (Python 2, legado mas amplamente documentado) e Volatility 3 (Python 3, atual e recomendado). Embora muitos tutoriais ainda referenciem o Volatility 2, o Volatility 3 é o futuro do framework e traz melhorias significativas em performance, usabilidade e suporte a sistemas modernos.

A instalação do Volatility 3 é direta via pip: pip3 install volatility3. Alternativamente, o clone do repositório GitHub oferece acesso à versão mais recente: git clone https://github.com/volatilityfoundation/volatility3.git. O Kali Linux já inclui o Volatility pré-instalado, o que o torna uma opção conveniente para quem trabalha com múltiplas ferramentas forenses.

Uma diferença fundamental entre as versões é o sistema de identificação do sistema operacional. O Volatility 2 utilizava "profiles" — pacotes pré-definidos para cada combinação de SO e versão. Se o profile correto não estivesse disponível, a análise falhava. O Volatility 3 substituiu profiles por um sistema de símbolos (ISF — Intermediate Symbol Format) que é mais flexível e automático. Para Windows, o Volatility 3 baixa automaticamente os símbolos necessários da Microsoft. Para Linux, o investigador pode gerar os símbolos a partir do kernel do sistema investigado usando o dwarf2json.

O primeiro comando que todo analista executa após carregar um dump é a identificação do sistema operacional: vol -f memdump.raw windows.info (ou linux.info para Linux). Esse comando confirma a versão do SO, arquitetura e timestamps, validando que o dump é legível e que o Volatility consegue interpretá-lo. A partir desse ponto, dezenas de plugins estão disponíveis para extrair diferentes tipos de artefato.

Plugins Essenciais: O Arsenal do Analista

O poder do Volatility está em seus plugins — módulos especializados que extraem tipos específicos de informação da memória. Conhecer os plugins mais importantes e saber quando usar cada um é o que transforma dados brutos em inteligência acionável.

O plugin windows.pslist lista todos os processos que estavam em execução no momento da captura, incluindo PID, nome, PPID (processo pai) e timestamps de criação. Mas atacantes sofisticados podem manipular as estruturas de lista de processos para esconder malware. Por isso, o windows.psscan varre a memória procurando estruturas de processo por assinatura, encontrando inclusive processos que foram desvinculados da lista — uma técnica chamada DKOM (Direct Kernel Object Manipulation). Comparar os resultados de pslist e psscan é um dos primeiros indicadores de comprometimento: se um processo aparece no psscan mas não no pslist, é quase certamente malicioso.

O plugin windows.netscan extrai todas as conexões de rede ativas e sockets abertos no momento da captura. Para cada conexão, mostra endereços IP local e remoto, portas, protocolo e o processo responsável. Essa informação é crucial para identificar comunicação com servidores de comando e controle (C2) de malware. Um processo svchost.exe mantendo conexão ativa com um IP na Rússia às 3h da manhã é um red flag que nenhum log de firewall sozinho revelaria com o mesmo contexto.

O windows.malfind é provavelmente o plugin mais poderoso para detecção de malware. Ele varre a memória de cada processo procurando regiões com proteção de memória suspeita (por exemplo, páginas marcadas como executáveis e graváveis simultaneamente) e código injetado que não corresponde a módulos carregados legitimamente. Quando encontra algo suspeito, extrai o conteúdo para análise posterior. Investigadores de malware frequentemente usam o malfind como ponto de partida, extraindo os blobs suspeitos e submetendo-os a plataformas como VirusTotal.

Outros plugins indispensáveis no arsenal do analista:

• windows.cmdline: argumentos de linha de comando de cada processo (revela parâmetros maliciosos)
• windows.dlllist: DLLs carregadas por cada processo (detecta DLL injection)
• windows.handles: handles abertos (arquivos, chaves de registro, mutexes em uso)
• windows.hashdump: extrai hashes de senhas do SAM/LSA (credenciais do sistema)
• windows.filescan: encontra referências a arquivos na memória (inclui arquivos deletados)
• windows.registry.hivelist: lista de hives de registro carregados na memória

Investigando Malware Fileless com Volatility

O malware fileless representa o cenário onde a análise de memória não é apenas útil — é a única opção viável. Esses ataques utilizam ferramentas legítimas do sistema (como PowerShell, WMI e macros do Office) para executar código malicioso inteiramente na memória, sem criar arquivos em disco que antivírus possam detectar.

Um cenário típico de ataque fileless começa com um e-mail de phishing contendo um documento Word com macro maliciosa. A macro executa um PowerShell one-liner que baixa e executa um payload diretamente na memória, sem salvá-lo em disco. O payload injeta shellcode no processo explorer.exe, estabelece conexão C2 e permite acesso remoto ao atacante. Todo o fluxo acontece na memória — nenhum arquivo malicioso é criado no disco. Uma análise forense de disco encontraria, no máximo, o documento Word original (que pode ter sido deletado) e talvez entradas de log do PowerShell se o logging estivesse ativado.

Com o Volatility, o investigador reconstrói todo o ataque. O windows.pslist mostra o processo PowerShell que foi iniciado pelo Word. O windows.cmdline revela o comando PowerShell completo, incluindo a URL de onde o payload foi baixado. O windows.malfind identifica o shellcode injetado no explorer.exe. O windows.netscan mostra a conexão C2 ativa. O windows.handles revela mutexes criados pelo malware. Em menos de uma hora de análise, o investigador tem a timeline completa do ataque: vetor de entrada, payload utilizado, técnicas de persistência e infraestrutura C2.

Para investigações que envolvem ameaças em dispositivos IoT, a análise de memória é igualmente relevante. Muitos dispositivos IoT comprometidos executam malware exclusivamente em memória que é perdido em caso de reinicialização. A captura de memória antes de qualquer intervenção é frequentemente a única chance de identificar o malware e compreender o ataque.

Análise de Memória em Investigações Reais

A análise de memória com Volatility não é exercício acadêmico — ela tem histórico comprovado em investigações reais de alto impacto que demonstram seu valor prático para profissionais de todos os níveis.

O caso mais emblemático é a investigação do malware Stuxnet, que sabotou centrífugas nucleares iranianas. Pesquisadores da Kaspersky e Symantec utilizaram análise de memória extensivamente para entender o comportamento do Stuxnet em runtime, já que o malware empregava técnicas sofisticadas de rootkit para esconder sua presença no disco. A análise de memória revelou drivers de kernel maliciosos, hooks em APIs do sistema e comunicação entre componentes que a análise de disco sozinha não teria encontrado.

Em investigações corporativas mais cotidianas, a análise de memória resolve situações que outros métodos não conseguem. Um banco brasileiro que detectou transferências fraudulentas utilizou análise de memória com Volatility para identificar um RAT (Remote Access Trojan) que operava exclusivamente em memória, injetado via macro de planilha Excel. O windows.netscan revelou conexões para servidores na Europa Oriental, e o windows.malfind extraiu o payload que, submetido ao VirusTotal, foi identificado como variante do trojan bancário Grandoreiro. Sem a análise de memória, o vetor de ataque nunca teria sido identificado.

O papel da análise de memória em investigações digitais de casos reais no Brasil está crescendo à medida que criminosos adotam técnicas mais sofisticadas. Delegacias especializadas em crimes cibernéticos e empresas de resposta a incidentes incorporam a captura de memória como procedimento padrão, e analistas proficientes em Volatility são profissionais disputados pelo mercado.

Boas Práticas e Fluxo de Trabalho com Volatility

Um fluxo de trabalho estruturado maximiza a eficiência da análise e garante que evidências não sejam perdidas ou mal interpretadas. Analistas experientes seguem uma sequência lógica que evolui do panorama geral para detalhes específicos.

A primeira fase é a orientação: identificar o sistema operacional, a versão e a arquitetura. windows.info ou linux.info fornece essa base. Em seguida, o analista executa plugins de visão geral — pslist, psscan, netscan e cmdline — para construir um mapa do estado do sistema no momento da captura. Essa visão panorâmica frequentemente revela anomalias óbvias: processos com nomes suspeitos, conexões para IPs desconhecidos, PowerShell executando comandos codificados em Base64.

A segunda fase é a investigação direcionada. Com base nas anomalias identificadas, o analista aprofunda usando plugins específicos. Se um processo suspeito foi encontrado, dlllist e handles revelam o que ele carregou e acessou. Se uma conexão C2 foi identificada, malfind no processo responsável extrai o código malicioso. Se credenciais comprometidas são suspeitas, hashdump verifica se hashes foram acessados.

A terceira fase é a documentação e correlação. Cada descoberta é registrada com o plugin utilizado, parâmetros, offset na memória e hash do artefato extraído. O analista correlaciona achados entre plugins para construir a narrativa do incidente: o que aconteceu, em que sequência, quais sistemas foram afetados e qual o impacto. Essa narrativa alimenta o relatório forense final e as medidas de remediação.

Para quem investiga situações que exigem combinar análise de memória com navegação segura em ambientes hostis, o Volatility é também uma ferramenta defensiva: analisar a memória da própria máquina de investigação periodicamente ajuda a garantir que ela não foi comprometida durante o trabalho.

FAQ

O que é o Volatility e para que serve?

O Volatility é um framework open-source de análise forense de memória RAM. Ele permite examinar dumps (capturas) de memória de computadores para extrair informações como processos em execução, conexões de rede ativas, senhas, chaves de criptografia, evidências de malware e artefatos de sistema que existem apenas na memória volátil. É a ferramenta padrão da indústria para investigação de incidentes de segurança, análise de malware e forense digital. O Volatility suporta Windows, Linux e macOS, e está disponível gratuitamente no GitHub.

Como capturar a memória RAM para análise com Volatility?

No Windows, use o WinPmem (gratuito, da Volatility Foundation) executando winpmem_mini_x64.exe memdump.raw de um pendrive USB. No Linux, use o LiME como módulo de kernel. Em ambientes virtualizados, snapshots de VM incluem memória. A captura deve ser feita com o sistema ligado, salva em mídia externa, e o hash SHA-256 do dump deve ser calculado imediatamente. Nunca desligue o computador antes de capturar a memória — as evidências voláteis são irrecuperavelmente perdidas com o desligamento. A captura típica de 16 GB leva entre 2 e 5 minutos.

Qual a diferença entre Volatility 2 e Volatility 3?

O Volatility 2 usa Python 2 e um sistema de profiles pré-definidos para cada combinação de sistema operacional e versão. O Volatility 3 usa Python 3, tem performance significativamente melhor e substituiu profiles por um sistema de símbolos automático (ISF) que baixa símbolos do Windows automaticamente. A sintaxe de comandos mudou: no Vol2 era vol.py --profile=Win10x64 -f dump.raw pslist, no Vol3 é vol -f dump.raw windows.pslist. O Volatility 3 é recomendado para novos projetos, mas o Vol2 ainda é amplamente usado por ter mais plugins da comunidade e documentação existente.

É possível analisar memória RAM de celulares?

A análise de memória de dispositivos móveis é significativamente mais complexa que em desktops. No Android, a captura de memória requer acesso root e ferramentas específicas como o LiME (para kernel Linux subjacente). No iOS, a captura é ainda mais restrita devido às proteções de segurança da Apple. Ferramentas comerciais como Cellebrite e GrayKey oferecem capacidades limitadas de aquisição de memória para dispositivos específicos. O Volatility tem suporte experimental para análise de dumps de memória Android, mas a maturidade é significativamente menor que para Windows e Linux desktop.

Quais são os sinais de malware em um dump de memória?

Os indicadores mais comuns incluem processos com nomes semelhantes a processos legítimos mas com PIDs ou paths diferentes (ex: svch0st.exe em vez de svchost.exe), processos que aparecem no psscan mas não no pslist (indicando ocultação via DKOM), regiões de memória com proteção PAGE_EXECUTE_READWRITE em processos que normalmente não teriam, conexões de rede para IPs desconhecidos ou em países atípicos, código injetado detectado pelo malfind, e processos PowerShell com argumentos codificados em Base64. A comparação entre o estado observado e o estado esperado do sistema é a base de toda análise.

Atualizado em julho de 2025. O Volatility 3 é a versão recomendada para novas análises.

Quando sua investigação precisa ir além da análise forense e incluir rastreamento de dispositivos em tempo real, o HI SPY oferece geolocalização precisa sem instalação no alvo — complementando suas evidências de memória com inteligência de localização que investigadores profissionais exigem.