Il s'agit de la volatilité des commandes qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS.
PROGRAMME:
Nom
volatilité - cadre avancé de criminalistique de la mémoire
SYNOPSIS
volatilité [option]
volatilité -f [image] --profil=[profil] [plug-in]
DESCRIPTION
Le Volatility Framework est une collection entièrement ouverte d'outils pour l'extraction de
artefacts numériques provenant d'échantillons de mémoire volatile (RAM). Il est utile dans l'analyse médico-légale.
Les techniques d'extraction sont réalisées de manière totalement indépendante du système à
étudiés, mais offrent une visibilité sans précédent sur l'état d'exécution du système.
Volatility prend en charge plusieurs versions de MS Windows, Linux et MAC OSX :
MS Windows :
· Windows XP Service Pack 32 et 2 3 bits
· Windows 32 Server Service Pack 2003, 0, 1 2 bits
· Service Pack Windows Vista 32 bits 0, 1, 2
· Windows 32 Server Service Pack 2008, 1 2 bits (il n'y a pas de SP0)
· Windows 32 Service Pack 7, 0 1 bits
· Windows 32, 8 et 8.1 mise à jour 8.1 1 bits
· Windows 32 10 bits (prise en charge initiale)
· Windows XP Service Pack 64 et 1 2 bits (il n'y a pas de SP0)
· Windows 64 Server Service Pack 2003 et 1 2 bits (il n'y a pas de SP0)
· Service Pack Windows Vista 64 bits 0, 1, 2
· Windows 64 Server Service Pack 2008 et 1 2 bits (il n'y a pas de SP0)
· Windows 64 R2008 Server Service Pack 2 et 0 1 bits
· Windows 64 Service Pack 7 et 0 1 bits
· Windows 64, 8 et 8.1 mise à jour 8.1 1 bits
· Windows Server 64 et 2012 R2012 2 bits
· Windows 64 10 bits (prise en charge initiale)
linux:
· Noyaux Linux 32 bits 2.6.11 à 4.2.3
· Noyaux Linux 64 bits 2.6.11 à 4.2.3
· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc.
Mac OS X:
· Leopard 32.x 10.5 bits (le seul 64 10.5 bits est Server, qui n'est pas pris en charge)
· Léopard des neiges 32 bits 10.6.x
· Léopard des neiges 64 bits 10.6.x
· Lion 32.x 10.7 bits
· Lion 64.x 10.7 bits
· Mountain Lion 64.x 10.8 bits (il n'y a pas de version 32 bits)
· Mavericks 64.x 10.9 bits (il n'y a pas de version 32 bits)
· Yosemite 64 bits 10.10.x (il n'y a pas de version 32 bits)
· 64 bits 10.11.x El Capitan (il n'y a pas de version 32 bits)
Les formats de mémoire pris en charge sont :
· Échantillon linéaire brut (dd)
· Fichier d'hibernation
· Fichier de vidage sur incident
· Vidage de mémoire VirtualBox ELF64
· Fichiers d'état et de snapshot enregistrés par VMware
· Format EWF (E01)
· Format LiME (Linux Memory Extractor)
· Format de fichier Mach-o
· Vidages de la machine virtuelle QEMU
· FireWire
· HPAK (FDPro)
Les espaces d'adressage pris en charge (types de RAM) sont :
· AMD64PagedMemory - Espace d'adressage AMD 64 bits standard
· ArmAddressSpace - Espace d'adressage pour les processeurs ARM
· FileAddressSpace - Ceci est un fichier direct AS
· HPAKAddressSpace - Cet AS prend en charge le format HPAK
· IA32PagedMemoryPae - Cette classe implémente l'espace d'adressage de pagination IA-32 PAE.
il est responsable
· IA32PagedMemory - Espace d'adressage de pagination IA-32 standard
· LimeAddressSpace - Espace d'adressage pour Lime
· MachOAddressSpace - Espace d'adressage pour les fichiers mach-o afin de prendre en charge la mémoire atc-ny
lecteur
· OSXPmemELF - Cet AS prend en charge le format de vidage de mémoire VirtualBox ELF64
· QemuCoreDumpElf - Cet AS prend en charge le format de coredump Qemu ELF32 et ELF64
· VirtualBoxCoreDumpElf64 - Cet AS prend en charge le format de coredump VirtualBox ELF64
· VMWareAddressSpace - Cet AS prend en charge l'instantané VMware (VMSS) et l'état enregistré
(VMSS) fichiers
· VMWareMetaAddressSpace - Cet AS prend en charge le format VMEM avec VMSN/VMSS
métadonnées
· WindowsCrashDumpSpace32 - Cet AS prend en charge le format Windows Crash Dump
· WindowsCrashDumpSpace64BitMap - Cet AS prend en charge le vidage sur incident Windows BitMap
le format
· WindowsCrashDumpSpace64 - Cet AS prend en charge le format Windows Crash Dump
· WindowsHiberFileSpace32 - Il s'agit d'un espace d'adressage en veille prolongée pour Windows
fichiers d'hibernation
Il existe des exemples d'images de mémoire pour les tests à
https://github.com/volatilityfoundation/volatilité/wiki/Échantillons de mémoire.
OPTIONS
-h, --Aidez-moi
Répertoriez toutes les options disponibles et leurs valeurs par défaut. Les valeurs par défaut peuvent être définies dans
le fichier de configuration (/etc/volatilityrc).
--conf-file=/root/.volatilityrc
Fichier de configuration basé sur l'utilisateur.
-ré, --déboguer
Déboguer la volatilité.
--plugins=PLUGINS
Supplémentaire plug-in répertoires à utiliser (deux points séparés).
--Info Imprimez des informations sur tous les objets enregistrés.
--cache-directory=/root/.cache/volatility
Répertoire où sont stockés les fichiers cache.
--cache
Utilisez la mise en cache.
--tz=TZ
Définir le fuseau horaire pour l'affichage des horodatages à l'aide de pytz (si installé) ou de tzset
-f NOM DE FICHIER --filename=NOM DU FICHIER
Nom de fichier à utiliser lors de l'ouverture d'un image.
--profile=WinXPSP2x86
Nom du profil à charger (utiliser --Info pour voir une liste des profils pris en charge).
-l EMPLACEMENT, --location=EMPLACEMENT
Un emplacement URN à partir duquel charger un espace d'adressage.
-w, --écrivez
Activer la prise en charge de l'écriture.
--dtb=DTB
Adresse DTB.
--shift=MAJ
Adresse de décalage Mac KASLR.
--output=texte
Sortie dans ce format.
--output-file=SORTIE_FILE
Écrire la sortie dans ce fichier.
-dans, --verbeux
Informations détaillées.
-g KDBG, --kdbg=KDBG
Spécifiez une adresse virtuelle KDBG spécifique. Pour Windows 64 8 bits et supérieur, c'est le
adresse de KdCopyDataBlock.
--Obliger
Utilisation de la force du profil suspect.
-k CPRC, --kpcr=KPCR
Spécifiez une adresse KPCR spécifique.
--cookie=COOKIE
Spécifiez l'adresse de nt!ObHeaderCookie (valide pour Windows 10 uniquement).
PLUGINS ET PROFILS
Le supporté plug-in les commandes et les profils peuvent être visualisés si vous utilisez la commande '$
volatilité --Info'. Notez que les plugins autorisés par Linux et MAC OSX auront le 'linux_'
et les préfixes 'mac_'. Les plugins sans ces préfixes ont été conçus pour MS Windows.
Les profils sont des cartes utilisées par Volatility pour comprendre les systèmes opérationnels. Le MS autorisé
Les profils Windows sont fournis par Volatility.
Vous devez créer vos propres profils pour Linux et MAC OSX. Pour cela, sur les systèmes Debian, lisez
le fichier README.Debian fourni par volatilité-paquet d'outils.
Sous MS Windows, pour déterminer le type de système d'exploitation, vous pouvez utiliser :
$ volatilité -f info image
or
$ volatilité -f kdbgscan
ENVIRONNEMENT VARIABLES
Sur un système GNU/Linux ou OS X, ces variables peuvent être définies :
· VOLATILITY_PROFILE - Spécifie un profil à utiliser par défaut, ce qui rend
inutile un '--profil' option.
· VOLATILITY_LOCATION - Spécifie le chemin d'un image. Ainsi, la commande Volatilité
n'aura pas besoin d'un nom de fichier via '-f' option.
· VOLATILITY_KDBG - Spécifie une adresse KDBG. Voir PROCÉDURES SUPPLÉMENTAIRES pour en savoir plus
détails.
Autres plug-in des drapeaux peuvent être utilisés de cette manière, par exemple KPCR, DTB ou PLUGINS. Lorsque
exportant des variables, préfixez simplement VOLATILITY_ avant le nom du drapeau (par exemple
VOLATILITY_KPCR). Sinon, le nom du drapeau reste le même lors de son ajout au
fichier de configuration.
Si vous avez un chemin avec un espace ou plus dans le nom, les espaces doivent être remplacés par %20
à la place (par exemple LOCATION=file:///tmp/my%20image.img).
Exemple :
$ exporter VOLATILITY_PROFILE=Win7SP0x86
$ export VOLATILITY_LOCATION=file:///tmp/monimage.img
$ exporter VOLATILITY_KDBG=0x82944c28
CONFIGURATION DES DOSSIERS
Les fichiers de configuration sont généralement « volatilityrc » dans le répertoire actuel ou
'~/.volatilityrc' dans le répertoire personnel de l'utilisateur, ou au chemin spécifié par l'utilisateur, en utilisant le --conf-
filet option. Un exemple du contenu du fichier est présenté ci-dessous :
[DÉFAUT]
PROFIL=Win7SP0x86
EMPLACEMENT=fichier:///tmp/myimage.img
KDBG=0x82944c28
Autres plug-in des drapeaux peuvent être utilisés de cette manière, par exemple KPCR, DTB ou PLUGINS. Lorsque
exportant des variables, préfixez simplement VOLATILITY_ avant le nom du drapeau (par exemple
VOLATILITY_KPCR). Sinon, le nom du drapeau reste le même lors de son ajout au
fichier de configuration.
Si vous avez un chemin avec un espace ou plus dans le nom, les espaces doivent être remplacés par %20
à la place (par exemple LOCATION=file:///tmp/my%20image.img).
EXTRA PROCÉDURES
Définir un fuseau horaire
Les horodatages extraits de la mémoire peuvent être soit en heure locale du système, soit en temps universel
Coordonnées (UTC). S'ils sont en UTC, Volatility peut être chargé de les afficher dans un temps
zone choisie par l'analyste. Pour choisir un fuseau horaire, utilisez l'un des fuseaux horaires standard
noms (tels que America/Sao_Paulo, Europe/London, US/Eastern ou la plupart des fuseaux horaires Olson) avec
l'indicateur --tz=TIMEZONE.
Volatility tente d'utiliser pytz s'il est installé, sinon il utilise tzset.
Veuillez noter que la spécification d'un fuseau horaire n'affectera pas la façon dont les heures locales du système sont affichées. Si
vous identifiez une heure dont vous savez qu'elle est basée sur UTC, veuillez la signaler en tant que problème dans l'outil de suivi des problèmes.
Par défaut, les horodatages _EPROCESS CreateTime et ExitTime sont en UTC.
Réglage du DTB
Le DTB (Directory Table Base) est ce que Volatility utilise pour traduire les adresses virtuelles en physiques
adresses. Par défaut, un noyau DTB est utilisé (à partir du processus Idle/System). Si vous souhaitez utiliser un
DTB de processus différent lors de l'accès aux données, fournissez l'adresse à --dtb=ADDRESS.
Définition de l'adresse KDBG (il s'agit d'un option)
Analyse de volatilité pour la structure '_KDDEBUGGER_DATA64' à l'aide des signatures codées en dur "KDBG" et
une série de contrôles de santé mentale. Ces signatures ne sont pas essentielles au fonctionnement du système d'exploitation
correctement, ainsi les logiciels malveillants peuvent les écraser pour tenter de se débarrasser des outils qui reposent sur le
Signature. De plus, dans certains cas, il peut y avoir plus d'un '_KDDEBUGGER_DATA64' (pour
exemple si vous appliquez une mise à jour majeure du système d'exploitation et ne redémarrez pas), ce qui peut prêter à confusion et entraîner
listes incorrectes de processus et de modules, entre autres problèmes. Si vous connaissez l'adresse
ajoutez '_KDDEBUGGER_DATA64', vous pouvez le spécifier avec --kdbg=ADDRESS et cela remplace le
scanne. Pour plus d'informations, consultez le plugin kdbgscan.
Définition de l'adresse KPCR (il s'agit d'un option)
Il y a un KPCR (Kernel Processor Control Region) pour chaque CPU sur un système. Une certaine volatilité
les plugins affichent des informations par processeur. Ainsi, si vous souhaitez afficher des données pour un processeur spécifique, par exemple
exemple CPU 3 au lieu de CPU 1, vous pouvez passer l'adresse du KPCR de ce CPU avec --kpcr=ADDRESS.
Pour localiser les KPCR de tous les processeurs, consultez le plugin kpcrscan. Notez également qu'à partir de Volatility 2.2,
de nombreux plugins tels que idt et gdt parcourent automatiquement la liste des KPCR.
Activation de la prise en charge de l'écriture
Le support d'écriture dans Volatility doit être utilisé avec prudence. Par conséquent, pour l'activer réellement, vous devez
non seulement tapez --write sur la ligne de commande mais vous devez taper un "mot de passe" en réponse à une question qui
vous serez invité avec. Dans la plupart des cas, vous ne voudrez pas utiliser le support d'écriture car cela peut conduire à
corruption ou modification de données dans votre dump mémoire. Cependant, il existe des cas particuliers qui rendent cette
fonctionnalité vraiment intéressante. Par exemple, vous pouvez nettoyer un système en direct de certains logiciels malveillants en
écrire dans la RAM via FireWire, ou vous pourriez pénétrer dans un poste de travail verrouillé en patchant des octets dans le
DLL winlogon.
Spécification supplémentaire plug-in répertoires
L'architecture de plug-in de Volatility peut charger des fichiers de plug-in à partir de plusieurs répertoires à la fois. Dans le
Code source de volatilité, la plupart des plugins sont situés dans volatilité/plugins. Cependant, il existe un autre
répertoire (volatility/contrib) réservé aux contributions de développeurs tiers, ou
plugins faiblement pris en charge qui ne sont tout simplement pas activés par défaut. Pour accéder à ces plugins il vous suffit
tapez --plugins=contrib/plugins sur la ligne de commande. Il vous permet également de créer un répertoire séparé
de vos propres plugins que vous pouvez gérer sans avoir à ajouter/supprimer/modifier des fichiers dans le noyau
Annuaires de volatilité.
Remarques :
* Sur les systèmes Debian, le répertoire contrib/plugins se trouve dans /usr/share/volatility/contrib/plugins.
* Les sous-répertoires seront également parcourus tant qu'il y aura un fichier __init__.py (qui peut être vide)
en eux.
* Le paramètre de --plugins peut également être un fichier zip contenant les plugins tels
comme --plugins=myplugins.zip. En raison de la façon dont les plugins sont chargés, le répertoire des plugins externes
ou zip doit être spécifié avant tout argument spécifique au plugin (y compris le nom du
brancher). Exemple:
$ volatilité --plugins=contrib/plugins -f exemple XPSP3x86.vmem
Choisir un format de sortie
Par défaut, les plugins utilisent des moteurs de rendu de texte pour la sortie standard. Si vous souhaitez rediriger vers un fichier, vous
pouvez bien sûr utiliser la redirection de la console (c'est-à-dire > out.txt) ou vous pouvez utiliser --output-file=out.txt.
La raison pour laquelle vous pouvez également choisir --output=FORMAT est de permettre aux plugins de rendre également la sortie au format HTML,
JSON, SQL ou tout ce que vous choisissez. Cependant, il n'y a pas de plugins avec ces formats de sortie alternatifs
préconfiguré pour l'utilisation, vous devrez donc ajouter une fonction nommée render_html, render_json, render_sql,
respectivement à chaque plugin avant d'utiliser --output=HTML.
Options spécifiques aux plugins
De nombreux plugins acceptent leurs propres arguments, qui sont indépendants des options globales. Pour voir le
liste des options disponibles, tapez à la fois le nom du plugin et -h/--help sur la ligne de commande.
$ volatilité dlllist -h
Debug Mode
Si quelque chose ne se passe pas dans Volatility comme prévu, essayez d'exécuter la commande avec -d/--debug.
Cela permettra l'impression des messages de débogage en erreur standard. À plus de niveaux de débogage, comme dans l'utilisation
débogueur pdb), ajoutez -d -d -d à la commande.
Utiliser Volatility comme bibliothèque
Bien qu'il soit possible d'utiliser Volatility comme bibliothèque (il est prévu de mieux la prendre en charge dans le
futur). Actuellement, pour importer Volatility à partir d'un script python, l'exemple de code suivant peut être utilisé :
$python
>>> importer volatilité.conf en tant que conf
>>> importer volatilité.registry en tant que registre
>>> registre.PluginImporter()
>>> config = conf.ConfObject()
>>> importer volatilité.commands en tant que commandes
>>> importer volatilité.addrspace comme addrspace
>>>registre.register_global_options(config, commandes.Command)
>>> registration.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> importer volatilité.plugins.taskmods en tant que taskmods
>>> p = taskmods.PSList(config)
>>> pour le processus dans p.calculate() :
... processus d'impression
EXEMPLES
Pour voir tous les plugins, profils, contrôles de scanner et espaces d'adressage disponibles :
$ volatilité --info
Pour lister tous les processus actifs trouvés dans un MS Windows 8 SP0 image:
$ volatilité -f win8.raw --profile=Win8SP0x86 pslist
Pour lister tous les processus actifs trouvés dans un MS Windows 8 SP0 image, en utilisant un fuseau horaire :
$ volatilité -f win8.raw --profile=Win8SP0x86 pslist --tz=Amérique/Sao_Paulo
Pour afficher le tampon du noyau à partir d'un Linux 3.2.63 image:
$ volatilité -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg
NOTES
Cette page de manuel était basée sur des tests et plusieurs documents officiels sur la volatilité. Pour
d'autres informations et tutoriels, voir:
· http://www.volatilityfoundation.org
· https://github.com/volatilityfoundation/volatilité/ Wiki
Utilisez la volatilité en ligne en utilisant les services onworks.net
