You are here: Home » Blog » Adquirir memoria RAM de una Máquina Virtual (VirtualBox)

Adquirir memoria RAM de una Máquina Virtual (VirtualBox)

Hace un par de años les hablaba sobre la gestión de virtualbox desde la consola, ahora que estamos hablando de mecanismos para adquirir un volcado de la memoria RAM a un archivo para su posterior análisis veremos como obtener el volcado sin tener que intervenir la máquina virtual directamente.

Una de las ventajas que tiene la virtualización es que podemos realizar este tipo de procedimientos sin necesidad de apagar o pausar la máquina virtual, es decir podemos sacar el dump de memoria en caliente.

En este escenario tenemos corriendo una máquina Windows en virtualbox como se observa en la siguiente imagen:

VM virtualbox

 

Abrimos una consola en linux y listamos las máquinas virtuales con el comando VBoxManage list vms  y obtendremos algo como esto:

VBoxManage list vms

 

Establecemos el nombre de la máquina a la cual vamos a extraer el volcado de la memoria RAM y ejecutamos:

vboxmanage debugvm “NombreMaquina” dumpguestcore –filename sample02.elf

Donde NombreMaquina, es el nombre de la VM que obtenemos con VBoxManage list vms y sample02.elf es el nombre que le he colocado al volcado, puede ser cualquier nombre.

vboxmanage debugvm

Como se puede ver en la imagen anterior, se ha creado un archivo de tipo ELF 64-bit

Esta imagen ya puede ser analizada con herramientas como Volatility

python vol.py -f ../test.elf imageinfo

volatility info

 

Para más información pueden consultar:

  1. RAM dump with VirtualBox: via ELF64 coredump http://wiki.yobi.be/wiki/RAM_analysis
  2. VirtualBoxCoreDump  https://code.google.com/p/volatility/wiki/VirtualBoxCoreDump

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net