Script de Volatility para extraer de la memoria información de sesiones de Facebook

Nikos Gkogkos ha publicado un interesante script para el framework Volatility con el que podemos extraer fácilmente de la memoria información de una sesión de Facebook. Simplemente clona el repositorio en local y copia facebook_extractor.py dentro de la ruta "/volatility/volatility/plugins/".

El script facebook_extractor.py contiene 3 plugins para Volatility:

    facebookgrabinfo
    facebookcontacts
    facebookmessages

Por cada plugin puedes ver las opciones disponibles con: $ python vol.py "facebook-plugin" -h

Normalmente, en primer lugar debemos ejecutar facebookcontacts, con el fin de obtener los IDs del propietario y de sus contactos. Luego grabar la información del propietario y revisar los mensajes que se ha cruzado con sus contactos.

Ejemplo:



*Nota:
Normalmente no es necesario usar el argumento oid porque el plugin es capaz encontrar el ID del propietario de forma automática. Sin embargo, puede que 2 usuarios diferentes se hubieran conectado a sus respectivas cuentas antes de capturar el volcado de memoria RAM. Por lo tanto, el código no va a poder decidir el ID correcto, y en ese caso si debemos suministrar el parámetro --oid.

Repositorio:
https://github.com/ngkogkos/volatility-plugins

Comentarios