Análisis forense de Oracle VM VirtualBox en Windows

 Las máquinas virtuales utilizan un entorno portátil e independiente del hardware para realizar esencialmente el mismo papel que una computadora real. Las actividades realizadas bajo el paraguas virtual dejan rastros principalmente en los archivos de imagen de VM y no en la computadora host. La capacidad de analizar máquinas virtuales se vuelve esencial cuando se realizan investigaciones digitales.

VBoxManage es la interfaz de línea de comandos para Oracle VM VirtualBox. Con él, puede controlar completamente Oracle VM VirtualBox desde la línea de comandos de su sistema operativo host. Admite todas las funciones a las que la GUI le da acceso, pero admite mucho más que eso. Expone todas las funciones del motor de virtualización, incluso aquellas a las que no se puede acceder desde la GUI. La utilidad VBoxManage se puede encontrar en la siguiente ubicación:

<%SYSTEMROOT%>\Program Files\Oracle\VirtualBox\VBoxManage.exe

Para enumerar todas las máquinas virtuales disponibles en el sistema, ingrese el siguiente comando:

C:\Users\MRX>vboxmanage list vms
"Windows 7" {621ee4af-dd94-452e-a204-1bd982120dd5}
"Metasploitable Linux" {c13eb99e-84fb-430f-90f2-837207ca34f8}
"Kali" {a3907521-4b91-4518-8098-511744e7da93}
"CSI Linux 2021.2" {c9365f17-20ba-4dda-9f43-95e7a43677af}
"Ubuntu" {797001f0-9f5d-4090-944d-255e9a62a0a8}
"Ubuntu Server" {170b7ed7-b8d5-45a4-b256-1f9a200346d4}









Para obtener información detallada para cada una de las máquinas virtuales disponibles, el comando anterior se puede modificar agregando el interruptor -l o el indicador --long como se muestra a continuación: El resultado muestra todas las máquinas virtuales registradas e información detallada, como la configuración de cada máquina virtual. , detalles de hardware, configuraciones, etc.


C:\Users\MRX>vboxmanage list vms -l Name: Windows 7 Encryption: disabled Groups: / Guest OS: Windows 7 (64-bit) UUID: 621ee4af-dd94-452e-a204-1bd982120dd5 Config file: C:\Users\JOSEPH\VirtualBox VMs\Windows 7\Windows 7.vbox Snapshot folder: C:\Users\JOSEPH\VirtualBox VMs\Windows 7\Snapshots Log folder: C:\Users\JOSEPH\VirtualBox VMs\Windows 7\Logs Hardware UUID: 621ee4af-dd94-452e-a204-1bd982120dd5 Memory size: 2048MB Page Fusion: disabled VRAM size: 100MB CPU exec cap: 100% HPET: disabled CPUProfile: host Chipset: piix3 Firmware: BIOS Number of CPUs: 2



Identifique y anote el UUID de la máquina virtual de interés del resultado anterior. En las investigaciones en vivo, es posible que le interese enumerar solo las máquinas virtuales que se están ejecutando actualmente. Esto se puede hacer usando el siguiente comando:


C:\Users\MRX>vboxmanage list runningvms "Windows 7" {621ee4af-dd94-452e-a204-1bd982120dd5}


Si al llegar a la escena, el sistema informático está encendido, se recomienda al investigador que obtenga un volcado de memoria del sistema operativo host, así como de las máquinas virtuales en ejecución. Un buen comando que podría indicar una instalación activa de Oracle VM VirtualBox en el sistema es el comando ipconfig /all.




Otro comando útil que puede revelar la presencia de Oracle VM VirtualBox en la máquina, especialmente si el sospechoso lo ha agregado a PATH es:

C:\Users\MRX>where vboxmanage C:\Program Files\Oracle\VirtualBox\VBoxManage.exe


Una vez que se ha establecido que Oracle VM VirtualBox está instalado en la computadora del sospechoso, el investigador puede obtener una lista de las máquinas virtuales en ejecución ingresando el comando discutido en los párrafos anteriores. Se puede obtener un volcado de memoria de cada una de las máquinas virtuales en ejecución ingresando el siguiente comando (en mi caso, se está ejecutando Windows 7 VM). Navegue al directorio de la utilidad vboxmanage (<%SYSTEMROOT%>\Program Files\Oracle\VirtualBox\) a través del símbolo del sistema de Windows antes de ingresar el comando. Puede especificar el nombre de la VM como se muestra en la interfaz gráfica de usuario de Oracle VM VirtualBox o ingresar su UUID como se muestra en los comandos anteriores. Tenga en cuenta que si ese nombre contiene espacios, debe encerrar el nombre completo entre comillas dobles.


vboxmanage debugvm "Windows 7" dumpvmcore --filename=D:\Hackware\Win7.dmp vboxmanage debugvm 621ee4af-dd94-452e-a204-1bd982120dd5 dumpvmcore --filename=D:\Hackware\Win7.dmp

Ahora puede convertir este volcado del núcleo en un volcado de memoria utilizando el complemento imagecopy de Volatility, como se muestra a continuación:
C:\Users\MRX>volatility -f D:\Hackware\win7.dmp imagecopy -O D:\Hackware\win7.raw Volatility Foundation Volatility Framework 2.6 Writing data (5.00 MB chunks): |.........................................................................................................................................................................................................................................................................................................................................................................................................................................................|


Volatility ahora puede ingerir este archivo como cualquier otro volcado de memoria.
C:\Users\MRX>volatility -f D:\Hackware\win7.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (D:\Hackware\win7.raw) PAE type : No PAE DTB : 0x187000L KDBG : 0xf80002801070L Number of Processors : 2 Image Type (Service Pack) : 0 KPCR for CPU 0 : 0xfffff80002802d00L KPCR for CPU 1 : 0xfffff880009ef000L KUSER_SHARED_DATA : 0xfffff78000000000L Image date and time : 2023-06-23 05:55:39 UTC+0000 Image local date and time : 2023-06-22 22:55:39 -0700


Cuando se crea una Máquina Virtual en el hipervisor Oracle VirtualBox, Windows crea un directorio para almacenar cada uno de los Discos Duros Virtuales de las Máquinas Virtuales en la siguiente carpeta:
<%SYSTEMROOT%>\Users\<Username>\VirtualBox VMs



Para crear una imagen forense del disco duro virtual sospechoso para el análisis fuera de línea, ingrese el siguiente comando:
C:\Windows\system32>vboxmanage clonehd "C:\Users\MRX\VirtualBox VMs\Windows 7\Windows 7.vdi" "D:\Win7.001" --format raw 0%...


Este comando clona el disco duro virtual o el archivo VDI como una imagen de flujo de bits con la ruta y el nombre de archivo especificados. Espere a que se complete el proceso. Puede tomar algún tiempo dependiendo del tamaño del disco de la máquina virtual.





























Comentarios

Publicar un comentario

Entradas populares de este blog

Cómo geolocalizar direcciones IP en Python

Imagen
 Cómo geolocalizar direcciones IP en Python Para usar ipinfo.io en Python, primero debemos instalar su contenedor: Abra un nuevo archivo de Python llamado get_ip_info.py y agregue el siguiente código: import ipinfo import sys # get the ip address from the command line try : ip_address = sys . argv [ 1 ] except IndexError : ip_address = None # access token for ipinfo.io access_token = '<put_your_access_token_here>' # create a client object with the access token handler = ipinfo . getHandler ( access_token ) # get the ip info details = handler . getDetails ( ip_address ) # print the ip info for key , value in details . all . items ( ) : print ( f" { key } : { value } " ) creamos el controlador con el token de acceso y luego usamos el método getDetails( ) para obtener la ubicación de la dirección IP. Asegúrese de reemplazar access_token con el token de acceso que encuentra en su tablero. Puede hacer clic en Copiar al portapapel...
Leer más

Cómo hacer un ransomware en Python

Imagen
Cómo hacer un ransomware en Python Aprenda a crear un ransomware mediante el cifrado simétrico (algoritmo AES) con la ayuda de la biblioteca de criptografía en Python. El ransomware es un tipo de malware que cifra los archivos de un sistema y los descifra solo después de que se paga una suma de dinero al atacante. El cifrado es el proceso de convertir texto sin formato, que son datos que pueden leer los humanos, en texto cifrado, que es una versión codificada de los datos que es imposible de leer para los humanos. El proceso de convertir el texto cifrado en texto sin formato se conoce como descifrado. El cifrado se utiliza para proteger los datos durante la transmisión, el almacenamiento y el procesamiento. Es una herramienta fundamental para proteger la información del acceso no autorizado y es esencial para mantener la confidencialidad e integridad de los datos. El cifrado se utiliza en una variedad de aplicaciones, incluidas las comunicaciones seguras, la banca y las compras en líne...
Leer más