volátil

PROGRAMA:

NOMBRE

volátil - marco forense de memoria avanzado

SINOPSIS

volátil [opción]
volátil -f [imagen] --perfil= [perfil] [plugin]

DESCRIPCIÓN

El Volatility Framework es una colección completamente abierta de herramientas para la extracción de
artefactos digitales de muestras de memoria volátil (RAM). Es útil en análisis forense.
Las técnicas de extracción se realizan de forma completamente independiente del sistema que se
investigados, pero ofrecen una visibilidad sin precedentes del estado de tiempo de ejecución del sistema.

Volatility admite varias versiones de MS Windows, Linux y MAC OSX:

MSWindows:

· Service Pack 32 y 2 de Windows XP de 3 bits

· Service Pack 32, 2003, 0 de Windows 1 Server de 2 bits

· Service Pack 32, 0, 1 de Windows Vista de 2 bits

· Service Pack 32, 2008 de Windows 1 Server de 2 bits (no hay SP0)

· Paquete de servicio 32, 7 de Windows 0 de 1 bits

· Actualización 32 de Windows 8, 8.1 y 8.1 de 1 bits

· Windows 32 de 10 bits (soporte inicial)

· Service Pack 64 y 1 de Windows XP de 2 bits (no hay SP0)

· Service Pack 64 y 2003 de Windows 1 Server de 2 bits (no hay SP0)

· Service Pack 64, 0, 1 de Windows Vista de 2 bits

· Service Pack 64 y 2008 de Windows 1 Server de 2 bits (no hay SP0)

· Service Pack 64 y 2008 de Windows 2 R0 Server de 1 bits

· Service Pack 64 y 7 de Windows 0 de 1 bits

· Actualización 64 de Windows 8, 8.1 y 8.1 de 1 bits

· Windows Server 64 y 2012 R2012 de 2 bits

· Windows 64 de 10 bits (soporte inicial)

Linux:

· Kernels de Linux de 32 bits 2.6.11 a 4.2.3

· Kernels de Linux de 64 bits 2.6.11 a 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc.

Mac OS X:

· Leopard 32.x de 10.5 bits (el único 64 de 10.5 bits es el servidor, que no es compatible)

· Leopardo de las nieves 32.x de 10.6 bits

· Leopardo de las nieves 64.x de 10.6 bits

· León 32.x de 10.7 bits

· León 64.x de 10.7 bits

· Mountain Lion 64.x de 10.8 bits (no hay una versión de 32 bits)

· Mavericks 64.x de 10.9 bits (no hay una versión de 32 bits)

· Yosemite 64.x de 10.10 bits (no hay una versión de 32 bits)

· El Capitan 64.x de 10.11 bits (no hay una versión de 32 bits)

Los formatos de memoria admitidos son:

· Muestra lineal sin procesar (dd)

· Archivo de hibernación

· Archivo de volcado por caída

· Volcado de núcleo de VirtualBox ELF64

· Archivos de instantáneas y estado guardado de VMware

· Formato EWF (E01)

· Formato LiME (Extractor de memoria de Linux)

· Formato de archivo Mach-o

· Volcados de máquinas virtuales QEMU

· cable de fuego

· HPAK (FD Pro)

Los espacios de direcciones admitidos (tipos de RAM) son:

· AMD64PagedMemory: espacio de direcciones estándar AMD de 64 bits

· ArmAddressSpace: espacio de direcciones para procesadores ARM

· FileAddressSpace: este es un archivo directo AS

· HPAKAddressSpace: este AS admite el formato HPAK

· IA32PagedMemoryPae: esta clase implementa el espacio de direcciones de paginación IA-32 PAE.
Es responsable

· IA32PagedMemory: espacio de direcciones de paginación estándar IA-32

· LimeAddressSpace - Espacio de direcciones para Lime

· MachOAddressSpace: espacio de direcciones para archivos mach-o para admitir la memoria atc-ny
lector

· OSXPmemELF: este AS es compatible con el formato coredump de VirtualBox ELF64

· QemuCoreDumpElf: este AS es compatible con los formatos coredump Qemu ELF32 y ELF64

· VirtualBoxCoreDumpElf64: este AS es compatible con el formato coredump VirtualBox ELF64

· VMWareAddressSpace: este AS admite la instantánea de VMware (VMSS) y el estado guardado
(VMSS) archivos

· VMWareMetaAddressSpace: este AS admite el formato VMEM con VMSN / VMSS
metadatos

· WindowsCrashDumpSpace32: este AS es compatible con el formato Crash Dump de Windows

· WindowsCrashDumpSpace64BitMap: este AS es compatible con Windows BitMap Crash Dump
formato

· WindowsCrashDumpSpace64: este AS es compatible con el formato Crash Dump de Windows

· WindowsHiberFileSpace32: este es un espacio de direcciones de hibernación para Windows
archivos de hibernación

Hay imágenes de memoria ejemplares para pruebas en
https://github.com/volatilityfoundation/volátil/ wiki / Memory-Samples.

OPCIONES

-h, --ayuda
Enumere todas las opciones disponibles y sus valores predeterminados. Los valores predeterminados se pueden establecer en
el archivo de configuración (/ etc / volatilityrc).

--conf-file = / root / .volatilityrc
Archivo de configuración basado en el usuario.

-D, --depurar
Volatilidad de depuración.

--plugins = PLUGINS
Beneficios adicionales plugin directorios a utilizar (separados por dos puntos).

--información Imprime información sobre todos los objetos registrados.

--cache-directory = / root / .cache / volatility
Directorio donde se almacenan los archivos de caché.

--cache
Utilice el almacenamiento en caché.

--tz = TZ
Configure la zona horaria para mostrar marcas de tiempo usando pytz (si está instalado) o tzset

-f NOMBRE DEL ARCHIVO, --filename = FILENAME
Nombre de archivo que se utilizará al abrir un imagen.

--perfil = WinXPSP2x86
Nombre del perfil a cargar (use --información para ver una lista de perfiles compatibles).

-l LOCALIZACIÓN, --location = UBICACIÓN
Una ubicación URN desde la que cargar un espacio de direcciones.

-w, --escribir
Habilite el soporte de escritura.

--dtb = DTB
Dirección DTB.

--shift = SHIFT
Dirección de cambio de Mac KASLR.

--output = texto
Salida en este formato.

--salida-archivo = SALIDA_FILE
Escriba la salida en este archivo.

-v, --verboso
Información detallada.

-g kdbg, --kdbg = KDBG
Especifique una dirección virtual KDBG específica. Para Windows 64 de 8 bits y superior, este es el
dirección de KdCopyDataBlock.

--fuerza
Forzar la utilización del perfil sospechoso.

-k KPCR, --kpcr = KPCR
Especifique una dirección KPCR específica.

--cookie = GALLETA
Especifique la dirección de nt! ObHeaderCookie (válido solo para Windows 10).

PLUGINS Y PERFILES

El apoyado plugin Los comandos y perfiles se pueden ver si se usa el comando '$
volátil --información'. Tenga en cuenta que los complementos permitidos de Linux y MAC OSX tendrán la etiqueta 'linux_'
y prefijos 'mac_'. Los complementos sin estos prefijos se diseñaron para MS Windows.

Los perfiles son mapas utilizados por Volatility para comprender los sistemas operativos. La EM permitida
Los perfiles de Windows son proporcionados por Volatility.

Debe crear sus propios perfiles para Linux y MAC OSX. Para esto, en los sistemas Debian, lea
el archivo README.Debian proporcionado por volátil-paquete de herramientas.

En MS Windows, para determinar el tipo de sistema operativo, puede utilizar:

$ volatilidad -f imageinfo

or

$ volatilidad -f kdbgscan

MEDIO AMBIENTE VARIABLES

En un sistema GNU / Linux u OS X, estas variables se pueden configurar:

· VOLATILITY_PROFILE: especifica un perfil que se utilizará como predeterminado, lo que
innecesario a '--perfil' opción.

· VOLATILITY_LOCATION: especifica la ruta de un imagen. Entonces, el comando Volatility
no necesitará un nombre de archivo a través de '-f' opción.

· VOLATILITY_KDBG: especifica una dirección KDBG. Ver PROCEDIMIENTOS ADICIONALES para más
Detalles.

Otros plugin Las banderas se pueden utilizar de esta manera, por ejemplo, KPCR, DTB o PLUGINS. Cuando
exportar variables, simplemente prefijo VOLATILITY_ antes del nombre de la bandera (p. ej.
VOLATILITY_KPCR). De lo contrario, el nombre de la bandera sigue siendo el mismo al agregarlo al
archivo de configuración.

Si tiene una ruta con un espacio o más en el nombre, los espacios deben reemplazarse con% 20
en su lugar (por ejemplo, LOCATION = file: ///tmp/my%20image.img).

Ejemplo:

$ export VOLATILITY_PROFILE = Win7SP0x86
$ export VOLATILITY_LOCATION = file: ///tmp/myimage.img
$ exportación VOLATILITY_KDBG = 0x82944c28

CONFIGURACIÓN ARCHIVOS

Los archivos de configuración suelen ser 'volatilityrc' en el directorio actual o
'~ / .volatilityrc'en el directorio de inicio del usuario, o en la ruta especificada por el usuario, usando el --conf-
presentar opción. A continuación se muestra un ejemplo del contenido del archivo:

[DEFECTO]
PERFIL = Win7SP0x86
UBICACIÓN = archivo: ///tmp/myimage.img
KDBG = 0x82944c28

Otros plugin Las banderas se pueden utilizar de esta manera, por ejemplo, KPCR, DTB o PLUGINS. Cuando
exportar variables, simplemente prefijo VOLATILITY_ antes del nombre de la bandera (p. ej.
VOLATILITY_KPCR). De lo contrario, el nombre de la bandera sigue siendo el mismo al agregarlo al
archivo de configuración.

Si tiene una ruta con un espacio o más en el nombre, los espacios deben reemplazarse con% 20
en su lugar (por ejemplo, LOCATION = file: ///tmp/my%20image.img).

EXTRA PROCEDIMIENTOS

Establecer una zona horaria

Las marcas de tiempo extraídas de la memoria pueden estar en la hora local del sistema o en la hora universal
Coordenadas (UTC). Si están en UTC, se puede indicar a Volatility que los muestre en un tiempo
zona de elección del analista. Para elegir una zona horaria, utilice una de las zonas horarias estándar
nombres (como America / Sao_Paulo, Europe / London, US / Eastern o la mayoría de las zonas horarias de Olson) con
el indicador --tz = TIMEZONE.

Volatility intenta usar pytz si está instalado; de lo contrario, usa tzset.

Tenga en cuenta que especificar una zona horaria no afectará la forma en que se muestran las horas locales del sistema. Si
identifica una hora que sabe que está basada en UTC, por favor archívela como un problema en el rastreador de problemas.
De forma predeterminada, las marcas de tiempo _EPROCESS CreateTime y ExitTime están en UTC.

Configuración de la DTB

El DTB (Directory Table Base) es lo que utiliza Volatility para traducir direcciones virtuales a
direcciones. De forma predeterminada, se utiliza una DTB del núcleo (del proceso Idle / System). Si quieres usar un
DTB del proceso diferente al acceder a los datos, proporcione la dirección a --dtb = ADDRESS.

Configuración de la dirección KDBG (esta es una opción)

Escaneos de volatilidad para la estructura '_KDDEBUGGER_DATA64' utilizando firmas codificadas "KDBG" y
una serie de controles de cordura. Estas firmas no son críticas para el funcionamiento del sistema operativo.
correctamente, por lo tanto, el malware puede sobrescribirlos en un intento de deshacerse de las herramientas que se basan en el
firma. Además, en algunos casos puede haber más de un '_KDDEBUGGER_DATA64' (para
ejemplo, si aplica una actualización importante del sistema operativo y no reinicia), lo que puede causar confusión y provocar
listados incorrectos de procesos y módulos, entre otros problemas. Si conoces la direccion
agregue '_KDDEBUGGER_DATA64', puede especificarlo con --kdbg = ADDRESS y esto anula el automatizado
exploraciones. Para obtener más información, consulte el complemento kdbgscan.

Configuración de la dirección KPCR (esta es una opción)

Hay un KPCR (Región de control del procesador del núcleo) para cada CPU en un sistema. Algo de volatilidad
los complementos muestran información por procesador. Por lo tanto, si desea mostrar datos para una CPU específica, para
ejemplo CPU 3 en lugar de CPU 1, puede pasar la dirección del KPCR de esa CPU con --kpcr = ADDRESS.
Para ubicar los KPCR para todas las CPU, consulte el complemento kpcrscan. También tenga en cuenta que a partir de Volatility 2.2,
muchos de los complementos, como idt y gdt, recorren automáticamente la lista de KPCR.

Habilitación del soporte de escritura

El soporte de escritura en Volatility debe usarse con precaución. Por lo tanto, para habilitarlo realmente, debe
no solo escriba --write en la línea de comandos, sino que debe escribir una 'contraseña' en respuesta a una pregunta que
se le pedirá. En la mayoría de los casos, no querrá utilizar el soporte de escritura, ya que puede provocar
corrupción o modificación de datos en su volcado de memoria. Sin embargo, existen casos especiales que hacen que este
característica realmente interesante. Por ejemplo, puede limpiar un sistema en vivo de cierto malware mediante
escribiendo en la RAM a través de Firewire, o podría ingresar a una estación de trabajo bloqueada parcheando bytes en el
archivos DLL de winlogon.

Especificando adicionales plugin directorios

La arquitectura de complementos de Volatility puede cargar archivos de complementos desde varios directorios a la vez. En el
Código fuente de volatilidad, la mayoría de los complementos se encuentran en volatilidad / complementos. Sin embargo, hay otro
directorio (volatility / contrib) que está reservado para contribuciones de desarrolladores externos, o
complementos con poca compatibilidad que simplemente no están habilitados de forma predeterminada. Para acceder a estos complementos, simplemente
escriba --plugins = contrib / plugins en la línea de comandos. También le permite crear un directorio separado
de sus propios complementos que puede administrar sin tener que agregar / eliminar / modificar archivos en el núcleo
Directorios de volatilidad.

Notas:

* En los sistemas Debian, el directorio contrib / plugins está en / usr / share / volatility / contrib / plugins.

* Los subdirectorios también se recorrerán siempre que haya un archivo __init__.py (que puede estar vacío)
dentro de ellas.

* El parámetro de --plugins también puede ser un archivo zip que contenga complementos como
como --plugins = myplugins.zip. Debido a la forma en que se cargan los complementos, el directorio de complementos externos
o archivo zip debe especificarse antes de cualquier argumento específico del complemento (incluido el nombre del
enchufar). Ejemplo:

$ volatility --plugins = contrib / plugins -f ejemplo de XPSP3x86.vmem

Elegir un formato de salida

De forma predeterminada, los complementos utilizan procesadores de texto para la salida estándar. Si desea redirigir a un archivo,
Por supuesto, puede usar la redirección de la consola (es decir,> out.txt) o puede usar --output-file = out.txt.
La razón por la que también puede elegir --output = FORMAT es para permitir que los complementos también representen la salida como HTML,
JSON, SQL o lo que elija. Sin embargo, no hay complementos con esos formatos de salida alternativos.
preconfigurado para su uso, por lo que deberá agregar una función llamada render_html, render_json, render_sql,
respectivamente a cada complemento antes de usar --output = HTML.

Opciones específicas de complementos

Muchos complementos aceptan argumentos propios, que son independientes de las opciones globales. Ver el
lista de opciones disponibles, escriba el nombre del complemento y -h / - ayuda en la línea de comandos.

$ volatilidad dlllist -h

El modo de depuración

Si algo no está sucediendo en Volatility de la forma esperada, intente ejecutar el comando con -d / - debug.
Esto permitirá la impresión de mensajes de depuración a error estándar. A más niveles de depuración, como en el uso
pdb depurador), agregue -d -d -d al comando.

Usando Volatility como biblioteca

Aunque es posible utilizar Volatility como biblioteca, (hay planes para apoyarlo mejor en el
futuro). Actualmente, para importar Volatility desde un script de Python, se puede usar el siguiente código de ejemplo:

$ pitón
>>> importar volatility.conf como conf
>>> importar volatility.registry como registro
>>> registro.PluginImporter ()

>>> config = conf.ConfObject ()
>>> importar volatility.commands como comandos
>>> importar volatility.addrspace como addrspace
>>> registro.register_global_options (configuración, comandos.Command)
>>> registry.register_global_options (config, addrspace.BaseAddressSpace)
>>> config.parse_options ()
>>> config.PROFILE = "WinXPSP2x86"
>>> config.LOCATION = "archivo: ///media/memory/private/image.dmp"
>>> importar volatility.plugins.taskmods como taskmods
>>> p = taskmods.PSList (config)
>>> para el proceso en p.calculate ():
... proceso de impresión

EJEMPLOS

Para ver todos los complementos, perfiles, comprobaciones del escáner y espacios de direcciones disponibles:

$ volatilidad --info

Para enumerar todos los procesos activos que se encuentran en un MS Windows 8 SP0 imagen:

$ volatility -f win8.raw --profile = Win8SP0x86 pslist

Para enumerar todos los procesos activos que se encuentran en un MS Windows 8 SP0 imagen, usando una zona horaria:

$ volatilidad -f win8.raw --profile = Win8SP0x86 pslist --tz = America / Sao_Paulo

Para mostrar el bnuffer del kernel desde Linux 3.2.63 imagen:

$ volatilidad -f mem.dd --profile = Linux_3_2_63_x64 linux_dmesg

NOTAS

Esta página de manual se basó en algunas pruebas y varios documentos oficiales sobre volatilidad. Para
otra información y tutoriales, consulte:

· http://www.volatilityfoundation.org

· Https://github.com/volatilityfoundation/volátil/ Wiki

Utilice la volatilidad en línea utilizando los servicios de onworks.net