dwarf2json: Análisis Forense Linux

 

 https://www.onlinetis.com

dwarf2json: Análisis Forense Linux

dwarf2json es una herramienta desarrollada por el equipo de Volatility que se utiliza para convertir información de depuración (en formato DWARF) en un archivo JSON que Volatility 3 puede entender (llamado ISF o Intermediate Symbol Format).

Esto es fundamental si estás realizando análisis de memoria forense en Linux y necesitas crear un perfil para un kernel específico que no está disponible por defecto.


### ¿Para qué sirve dwarf2json?

Cuando analizas la memoria de un sistema Linux, Volatility necesita saber exactamente dónde se encuentran las estructuras de datos en el kernel (como la lista de procesos o las interfaces de red).

  1. El kernel de Linux tiene símbolos de depuración (DWARF).

  2. dwarf2json extrae esos símbolos.

  3. Los convierte a JSON (ISF).

  4. Volatility usa ese JSON para "mapear" la memoria RAM que estás analizando.


### Cómo instalar dwarf2json en Kali Linux

Dado que es una herramienta escrita en Go, necesitarás tener el entorno de Go configurado.

  1. Instalar Go:

    Bash
    sudo apt update
    sudo apt install golang-go
    
  2. Clonar el repositorio e instalar:

    Bash
    git clone https://github.com/volatilityfoundation/dwarf2json.git
    cd dwarf2json
    go build
    

    Esto creará un ejecutable llamado dwarf2json en la carpeta actual.


### Uso básico: Crear un perfil para el Kernel actual

Para generar el archivo JSON del sistema que estás usando actualmente en Kali, sigue estos pasos:

  1. Localizar el archivo vmlinux:

    Normalmente, necesitas el archivo del kernel con símbolos de depuración. En Kali/Debian suelen estar en /usr/lib/debug/boot/. Si no los tienes, instálalos:

    Bash
    sudo apt install linux-image-$(uname -r)-dbg
    
  2. Ejecutar la conversión:

    Bash
    ./dwarf2json linux --elf /usr/lib/debug/boot/vmlinux-$(uname -r) > kali-kernel.json
    
  3. Usarlo en Volatility 3:

    Mueve ese archivo .json a la carpeta de símbolos de Volatility:

    volatility3/symbols/linux/


### Puntos clave a recordar

  • Compatibilidad: Se usa exclusivamente para Volatility 3. Las versiones antiguas (Volatility 2) usaban archivos .zip creados con dwarfdump.

  • Símbolos: Sin los símbolos de depuración (vmlinux), dwarf2json no puede extraer la información necesaria. El archivo comprimido vmlinuz (con 'z') no sirve directamente; debe ser el ELF original.

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Hacking y ciberseguridad en kali linux con atk6-thcping6

Como utilizar Fierce en kali linux