Marktvolatilität

PROGRAMM:

NAME/FUNKTION

Marktvolatilität - Advanced Memory Forensics Framework

ZUSAMMENFASSUNG

Marktvolatilität [ganz ohne irgendetwas tun oder drücken zu müssen.]
Marktvolatilität -f [Image] --Profil=[Profil] [Plugin]

BESCHREIBUNG

Das Volatility Framework ist eine vollständig offene Sammlung von Tools zur Extraktion von
digitale Artefakte aus flüchtigen Speicher (RAM)-Samples. Es ist nützlich bei der forensischen Analyse.
Die Extraktionstechniken werden völlig unabhängig vom System durchgeführt
untersucht, bieten aber beispiellose Einblicke in den Laufzeitzustand des Systems.

Volatility unterstützt mehrere Versionen von MS Windows, Linux und MAC OSX:

MS-Windows:

· 32-Bit-Windows XP Service Pack 2 und 3

· 32-Bit-Windows 2003 Server Service Pack 0, 1, 2

· 32-Bit-Windows Vista Service Pack 0, 1, 2

· 32-Bit-Windows 2008 Server Service Pack 1, 2 (kein SP0)

· 32-Bit-Windows 7 Service Pack 0, 1

· 32-Bit-Windows 8, 8.1 und 8.1 Update 1

· 32-Bit-Windows 10 (erste Unterstützung)

· 64-Bit-Windows XP Service Pack 1 und 2 (es gibt kein SP0)

· 64-Bit-Windows 2003 Server Service Pack 1 und 2 (es gibt kein SP0)

· 64-Bit-Windows Vista Service Pack 0, 1, 2

· 64-Bit-Windows 2008 Server Service Pack 1 und 2 (es gibt kein SP0)

· 64-Bit-Windows 2008 R2 Server Service Pack 0 und 1

· 64-Bit-Windows 7 Service Pack 0 und 1

· 64-Bit-Windows 8, 8.1 und 8.1 Update 1

· 64-Bit-Windows Server 2012 und 2012 R2

· 64-Bit-Windows 10 (erste Unterstützung)

Linux:

· 32-Bit-Linux-Kernel 2.6.11 bis 4.2.3

· 64-Bit-Linux-Kernel 2.6.11 bis 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva usw.

Mac OS X:

· 32-Bit 10.5.x Leopard (der einzige 64-Bit 10.5 ist Server, der nicht unterstützt wird)

· 32-Bit 10.6.x Schneeleopard

· 64-Bit 10.6.x Schneeleopard

· 32-Bit 10.7.x Lion

· 64-Bit 10.7.x Lion

· 64-Bit 10.8.x Mountain Lion (es gibt keine 32-Bit-Version)

· 64-Bit 10.9.x Mavericks (es gibt keine 32-Bit-Version)

· 64-Bit 10.10.x Yosemite (es gibt keine 32-Bit-Version)

· 64-Bit 10.11.x El Capitan (es gibt keine 32-Bit-Version)

Die unterstützten Speicherformate sind:

· Lineare Rohprobe (dd)

· Ruhezustandsdatei

· Crash-Dump-Datei

· VirtualBox ELF64 Core-Dump

· Von VMware gespeicherte Status- und Snapshot-Dateien

· EWF-Format (E01)

· LiME-Format (Linux Memory Extractor)

· Mach-o-Dateiformat

· QEMU-Dumps virtueller Maschinen

· Firewire

· HPAK (FDPro)

Die unterstützten Adressräume (RAM-Typen) sind:

· AMD64PagedMemory - Standard AMD 64-Bit-Adressraum

· ArmAddressSpace - Adressraum für ARM-Prozessoren

· FileAddressSpace - Dies ist eine direkte Datei AS

· HPAKAddressSpace - Dieses AS unterstützt das HPAK-Format

· IA32PagedMemoryPae – Diese Klasse implementiert den Paging-Adressraum von IA-32 PAE.
Es ist verantwortlich

· IA32PagedMemory - Standard-IA-32-Paging-Adressraum

· LimeAddressSpace - Adressraum für Lime

· MachOAddressSpace - Adressraum für Mach-O-Dateien zur Unterstützung von atc-ny-Speicher
Leser

· OSXPmemELF - Diese AS unterstützt das VirtualBox ELF64 Coredump-Format

· QemuCoreDumpElf - Diese AS unterstützt das Qemu ELF32- und ELF64-Coredump-Format

· VirtualBoxCoreDumpElf64 - Diese AS unterstützt das VirtualBox ELF64 Coredump-Format

· VMWareAddressSpace – Diese AS unterstützt VMware Snapshot (VMSS) und gespeicherte Zustände
(VMSS)-Dateien

· VMWareMetaAddressSpace - Diese AS unterstützt das VMEM-Format mit VMSN/VMSS
Metadaten

· WindowsCrashDumpSpace32 - Diese AS unterstützt das Windows-Crash-Dump-Format

· WindowsCrashDumpSpace64BitMap - Diese AS unterstützt Windows BitMap Crash Dump
Format

· WindowsCrashDumpSpace64 - Diese AS unterstützt das Windows-Crash-Dump-Format

· WindowsHiberFileSpace32 - Dies ist ein Adressraum im Ruhezustand für Windows
Ruhezustand-Dateien

Beispielhafte Speicherabbilder für Tests gibt es bei
https://github.com/volatilityfoundation/Marktvolatilität/wiki/Speicher-Beispiele.

OPTIONAL

-H, --help
Listen Sie alle verfügbaren Optionen und ihre Standardwerte auf. Standardwerte können eingestellt werden in
die Konfigurationsdatei (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
Benutzerbasierte Konfigurationsdatei.

-D, --debuggen
Volatilität debuggen.

--plugins=PLUGINS
Zusätzliche Plugin zu verwendende Verzeichnisse (durch Doppelpunkt getrennt).

--die Info Drucken Sie Informationen zu allen registrierten Objekten.

--cache-directory=/root/.cache/volatility
Verzeichnis, in dem Cache-Dateien gespeichert werden.

--Zwischenspeicher
Zwischenspeichern verwenden.

--tz=TZ
Stellen Sie die Zeitzone für die Anzeige von Zeitstempeln mit pytz (falls installiert) oder tzset . ein

-f DATEINAME, --filename=DATEINAME
Dateiname, der beim Öffnen eines verwendet werden soll Image.

--profile=WinXPSP2x86
Name des zu ladenden Profils (verwenden Sie --die Info um eine Liste der unterstützten Profile anzuzeigen).

-l LAGE, --location=STANDORT
Ein URN-Speicherort, von dem aus ein Adressraum geladen werden soll.

-w, --schreiben
Schreibunterstützung aktivieren.

--dtb=DTB
DTB-Adresse.

--shift=UMSCHALT
Mac KASLR-Shift-Adresse.

--output=text
Ausgabe in diesem Format.

--output-file=AUSGABE_DATEI
Ausgabe in diese Datei schreiben.

-in, - ausführlich
Ausführliche Informationen.

-g KDBG, --kdbg=KDBG
Geben Sie eine bestimmte virtuelle KDBG-Adresse an. Für 64-Bit-Windows 8 und höher ist dies der
Adresse von KdCopyDataBlock.

--Macht
Erzwingen Sie die Verwendung des verdächtigen Profils.

-k KPCR, --kpcr=KPCR
Geben Sie eine bestimmte KPCR-Adresse an.

--cookie=KEKS
Geben Sie die Adresse von nt!ObHeaderCookie an (nur gültig für Windows 10).

PLUGINS UND PROFILE

Das wird unterstützt Plugin Befehle und Profile können mit dem Befehl '$ . angezeigt werden
Marktvolatilität --die Info'. Beachten Sie, dass Linux- und MAC OSX-erlaubte Plugins das 'linux_' haben.
und 'mac_'-Präfixe. Plugins ohne diese Präfixe wurden für MS Windows entwickelt.

Profile sind Karten, die von Volatility verwendet werden, um die Betriebssysteme zu verstehen. Die erlaubten MS
Windows-Profile werden von Volatility bereitgestellt.

Sie müssen Ihre eigenen Profile für Linux und MAC OSX erstellen. Lesen Sie dazu auf Debian-Systemen
die README.Debian-Datei bereitgestellt von Marktvolatilität-Werkzeugpaket.

Unter MS Windows können Sie zur Bestimmung des Betriebssystemtyps Folgendes verwenden:

$ Volatilität -f Bildinfo

or

$ Volatilität -f kdbgscan

VARIABLEN

Auf einem GNU/Linux- oder OS X-System können diese Variablen gesetzt werden:

· VOLATILITY_PROFILE - Gibt ein Profil an, das als Standard verwendet werden soll, wodurch
unnötig ein '--Profil' ganz ohne irgendetwas tun oder drücken zu müssen..

· VOLATILITY_LOCATION - Gibt den Pfad eines Image. Also, der Volatilitätsbefehl
braucht keinen Dateinamen über '-f' ganz ohne irgendetwas tun oder drücken zu müssen..

· VOLATILITY_KDBG - Gibt eine KDBG-Adresse an. Weitere Informationen finden Sie unter ZUSÄTZLICHE VERFAHREN
Details.

Andere Plugin Auf diese Weise können Flags verwendet werden, beispielsweise KPCR, DTB oder PLUGINS. Wann
Variablen exportieren, einfach VOLATILITY_ vor dem Flagnamen voranstellen (zB
VOLATILITY_KPCR). Andernfalls bleibt der Flaggenname beim Hinzufügen zum gleich
Konfigurationsdatei.

Wenn Sie einen Pfad mit einem Leerzeichen oder mehr im Namen haben, sollten Leerzeichen durch %20 . ersetzt werden
stattdessen (zB LOCATION=file:///tmp/my%20image.img).

Ejemplo:

$ exportieren VOLATILITY_PROFILE=Win7SP0x86
$ export VOLATILITY_LOCATION=file:///tmp/myimage.img
$ exportieren VOLATILITY_KDBG=0x82944c28

CONFIGURATION DATEIEN

Konfigurationsdateien sind normalerweise 'volatilityrc' im aktuellen Verzeichnis oder
'~/.volatilityrc' im Home-Verzeichnis des Benutzers oder im vom Benutzer angegebenen Pfad, mit dem --conf-
Datei ganz ohne irgendetwas tun oder drücken zu müssen.. Ein Beispiel für den Dateiinhalt ist unten dargestellt:

[STANDARD]
PROFIL=Win7SP0x86
LOCATION=file:///tmp/myimage.img
KDBG=0x82944c28

Andere Plugin Auf diese Weise können Flags verwendet werden, beispielsweise KPCR, DTB oder PLUGINS. Wann
Variablen exportieren, einfach VOLATILITY_ vor dem Flagnamen voranstellen (zB
VOLATILITY_KPCR). Andernfalls bleibt der Flaggenname beim Hinzufügen zum gleich
Konfigurationsdatei.

Wenn Sie einen Pfad mit einem Leerzeichen oder mehr im Namen haben, sollten Leerzeichen durch %20 . ersetzt werden
stattdessen (zB LOCATION=file:///tmp/my%20image.img).

EXTRA VERFAHREN

Einstellen einer Zeitzone

Aus dem Speicher extrahierte Zeitstempel können entweder in der lokalen Systemzeit oder in der Weltzeit vorliegen
Koordinaten (UTC). Wenn sie sich in UTC befinden, kann Volatilität angewiesen werden, sie in einer Zeit anzuzeigen
Zone nach Wahl des Analysten. Um eine Zeitzone auszuwählen, verwenden Sie eine der Standardzeitzonen
Namen (wie America/Sao_Paulo, Europe/London, US/Eastern oder die meisten Olson-Zeitzonen) mit
das Flag --tz=TIMEZONE.

Volatility versucht, pytz zu verwenden, falls installiert, andernfalls verwendet es tzset.

Bitte beachten Sie, dass die Angabe einer Zeitzone keinen Einfluss darauf hat, wie lokale Systemzeiten angezeigt werden. Wenn
Wenn Sie eine Zeit angeben, von der Sie wissen, dass sie UTC-basiert ist, speichern Sie diese bitte als Problem im Issue-Tracker.
Standardmäßig sind die Zeitstempel von _EPROCESS CreateTime und ExitTime in UTC.

Einstellen des DTB

Die DTB (Directory Table Base) verwendet Volatility, um virtuelle Adressen in physische zu übersetzen
Adressen. Standardmäßig wird ein Kernel-DTB verwendet (aus dem Idle/System-Prozess). Wenn Sie a . verwenden möchten
DTB eines anderen Prozesses beim Zugriff auf Daten übergeben Sie die Adresse an --dtb=ADDRESS.

Einstellen der KDBG-Adresse (dies ist ein Windows-only ganz ohne irgendetwas tun oder drücken zu müssen.)

Volatilitätsscans nach der Struktur '_KDDEBUGGER_DATA64' unter Verwendung von hartcodierten Signaturen "KDBG" und
eine Reihe von Gesundheitschecks. Diese Signaturen sind für die Funktion des Betriebssystems nicht kritisch
richtig, sodass Malware sie überschreiben kann, um Tools abzuwerfen, die sich auf die
Unterschrift. Außerdem kann es in einigen Fällen mehr als ein '_KDDEBUGGER_DATA64' geben (für
Beispiel, wenn Sie ein größeres Betriebssystem-Update anwenden und nicht neu starten), was zu Verwirrung führen und zu
unter anderem falsche Prozess- und Modullisten. Wenn du die Adresse kennst
'_KDDEBUGGER_DATA64' hinzufügen, können Sie es mit --kdbg=ADDRESS angeben und dies überschreibt die automatisierte
scannt. Weitere Informationen finden Sie im kdbgscan-Plugin.

Einstellen der KPCR-Adresse (dies ist nur für Windows) ganz ohne irgendetwas tun oder drücken zu müssen.)

Es gibt eine KPCR (Kernel Processor Control Region) für jede CPU in einem System. Etwas Volatilität
Plugins zeigen Informationen pro Prozessor an. Wenn Sie also Daten für eine bestimmte CPU anzeigen möchten, z
Beispiel CPU 3 anstelle von CPU 1, können Sie die Adresse des KPCR dieser CPU mit --kpcr=ADDRESS übergeben.
Informationen zum Auffinden der KPCRs für alle CPUs finden Sie im kpcrscan-Plugin. Beachten Sie auch, dass ab Volatilität 2.2,
viele der Plugins wie idt und gdt durchlaufen automatisch die Liste der KPCRs.

Schreibunterstützung aktivieren

Schreibunterstützung in Volatilität sollte mit Vorsicht verwendet werden. Um es tatsächlich zu aktivieren, müssen Sie daher
Geben Sie nicht nur --write in die Befehlszeile ein, sondern Sie müssen auch ein 'Passwort' als Antwort auf eine Frage eingeben, die
Sie werden mit aufgefordert. In den meisten Fällen werden Sie die Schreibunterstützung nicht nutzen wollen, da dies zu
Beschädigung oder Änderung von Daten in Ihrem Speicherabbild. Es gibt jedoch Sonderfälle, die dies machen
Funktion wirklich interessant. Sie können beispielsweise ein Live-System von bestimmter Malware bereinigen, indem Sie
Schreiben in den RAM über Firewire, oder Sie könnten in eine gesperrte Workstation einbrechen, indem Sie Bytes im
Winlogon-DLLs.

Angabe zusätzlicher Plugin Verzeichnisse

Die Plugin-Architektur von Volatility kann Plugin-Dateien aus mehreren Verzeichnissen gleichzeitig laden. In dem
Volatility-Quellcode, die meisten Plugins befinden sich in Volatility/Plugins. Es gibt jedoch noch eine andere
Verzeichnis (volatilität/contrib), das für Beiträge von Drittentwicklern reserviert ist, oder
schwach unterstützte Plugins, die einfach nicht standardmäßig aktiviert sind. Um auf diese Plugins zuzugreifen, müssen Sie nur
Geben Sie --plugins=contrib/plugins in die Befehlszeile ein. Es ermöglicht Ihnen auch, ein separates Verzeichnis zu erstellen
Ihrer eigenen Plugins, die Sie verwalten können, ohne Dateien im Kern hinzufügen/entfernen/ändern zu müssen
Volatilitätsverzeichnisse.

Anmerkungen:

* Auf Debian-Systemen befindet sich das Verzeichnis contrib/plugins unter /usr/share/volatility/contrib/plugins.

* Unterverzeichnisse werden auch durchlaufen, solange es eine __init__.py-Datei gibt (die leer sein kann)
in ihnen.

* Der Parameter für --plugins kann auch eine ZIP-Datei sein, die die Plugins enthält, wie z
als --plugins=myplugins.zip. Aufgrund der Art und Weise, wie Plugins geladen werden, ist das externe Plugin-Verzeichnis
oder zip-Datei muss vor allen Plugin-spezifischen Argumenten angegeben werden (einschließlich des Namens der
Plugin). Beispiel:

$ Volatilität --plugins=contrib/plugins -f XPSP3x86.vmem Beispiel

Auswählen eines Ausgabeformats

Standardmäßig verwenden Plugins Text-Renderer für die Standardausgabe. Wenn Sie zu einer Datei umleiten möchten,
können Sie natürlich die Umleitung der Konsole verwenden (dh > out.txt) oder Sie könnten --output-file=out.txt verwenden.
Der Grund, warum Sie auch --output=FORMAT wählen können, ist, dass Plugins auch die Ausgabe als HTML rendern können.
JSON, SQL oder was auch immer Sie wählen. Es gibt jedoch keine Plugins mit diesen alternativen Ausgabeformaten
für die Verwendung vorkonfiguriert, daher müssen Sie eine Funktion namens render_html, render_json, render_sql,
jeweils zu jedem Plugin, bevor Sie --output=HTML verwenden.

Plugin-spezifische Optionen

Viele Plugins akzeptieren eigene Argumente, die unabhängig von den globalen Optionen sind. Zu sehen
Liste der verfügbaren Optionen, geben Sie sowohl den Plugin-Namen als auch -h/--help in die Befehlszeile ein.

$ Volatilitätsdlllist -h

Debug-Modus

Wenn etwas in Volatility nicht wie erwartet passiert, versuchen Sie, den Befehl mit -d/--debug auszuführen.
Dies ermöglicht das Drucken von Debug-Meldungen mit Standardfehlern. Zu mehr Debug-Ebenen, wie in der Verwendung von
pdb-Debugger), fügen Sie -d -d -d zum Befehl hinzu.

Volatilität als Bibliothek nutzen

Obwohl es möglich ist, Volatilität als Bibliothek zu verwenden (es gibt Pläne, es im
Zukunft). Um Volatilität aus einem Python-Skript zu importieren, kann derzeit der folgende Beispielcode verwendet werden:

$python
>>> volatility.conf als conf importieren
>>> volatility.registry als Registry importieren
>>> Registry.PluginImporter()

>>> config = conf.ConfObject()
>>> volatility.commands als Befehle importieren
>>> volatility.addrspace als addrspace importieren
>>> Registry.register_global_options(config, commands.Command)
>>> Registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> volatility.plugins.taskmods als Taskmods importieren
>>> p = taskmods.PSList(config)
>>> zum Prozess in p.calculate():
... Druckvorgang

Beispiele:

Um alle verfügbaren Plugins, Profile, Scannerprüfungen und Adressräume anzuzeigen:

$ Volatilität --info

Um alle aktiven Prozesse aufzulisten, die in einem MS Windows 8 SP0 gefunden wurden Image:

$ Volatilität -f win8.raw --profile=Win8SP0x86 pslist

Um alle aktiven Prozesse aufzulisten, die in einem MS Windows 8 SP0 gefunden wurden Image, unter Verwendung einer Zeitzone:

$ Volatilität -f win8.raw --profile=Win8SP0x86 pslist --tz=America/Sao_Paulo

So zeigen Sie den Kernel-Bnuffer von einem Linux 3.2.63 . an Image:

$ Volatilität -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

ANMERKUNG

Diese Manpage basiert auf einigen Tests und mehreren offiziellen Dokumenten zum Thema Volatilität. Zum
Weitere Informationen und Tutorials finden Sie unter:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/Marktvolatilität/ Wiki

Verwenden Sie die Volatilität online mit den onworks.net-Diensten