volatilità

PROGRAMMA:

NOME

volatilità - framework forense della memoria avanzato

SINOSSI

volatilità [opzione]
volatilità -f [Immagine] --profilo=[profilo] [plug-in]

DESCRIZIONE

Il Volatility Framework è una raccolta completamente aperta di strumenti per l'estrazione di
artefatti digitali da campioni di memoria volatile (RAM). È utile nell'analisi forense.
Le tecniche di estrazione vengono eseguite in modo completamente indipendente dal sistema in corso
studiati ma offrono una visibilità senza precedenti sullo stato di runtime del sistema.

Volatility supporta diverse versioni di MS Windows, Linux e MAC OSX:

Microsoft Windows:

· Windows XP Service Pack 32 e 2 a 3 bit

· Service Pack per Windows 32 a 2003 bit 0, 1, 2

· Service Pack di Windows Vista a 32 bit 0, 1, 2

· Windows 32 Server Service Pack 2008, 1 a 2 bit (non esiste SP0)

· Windows 32 a 7 bit Service Pack 0, 1

· Aggiornamento di Windows 32, 8 e 8.1 a 8.1 bit 1

· Windows 32 a 10 bit (supporto iniziale)

· Windows XP Service Pack 64 e 1 a 2 bit (non c'è SP0)

· Windows 64 Server Service Pack 2003 e 1 a 2 bit (non c'è SP0)

· Service Pack di Windows Vista a 64 bit 0, 1, 2

· Windows 64 Server Service Pack 2008 e 1 a 2 bit (non c'è SP0)

· Server Windows 64 R2008 a 2 bit Service Pack 0 e 1

· Windows 64 a 7 bit Service Pack 0 e 1

· Aggiornamento di Windows 64, 8 e 8.1 a 8.1 bit 1

· Windows Server 64 e 2012 R2012 a 2 bit

· Windows 64 a 10 bit (supporto iniziale)

Linux:

· Kernel Linux a 32 bit da 2.6.11 a 4.2.3

· Kernel Linux a 64 bit da 2.6.11 a 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, ecc

Mac OSX:

· Leopard 32.x a 10.5 bit (l'unico 64 a 10.5 bit è Server, che non è supportato)

· Leopardo delle nevi 32.x a 10.6 bit

· Leopardo delle nevi 64.x a 10.6 bit

· Leone a 32 bit 10.7.x

· Leone a 64 bit 10.7.x

· 64 bit 10.8.x Mountain Lion (non esiste una versione a 32 bit)

· 64 bit 10.9.x Mavericks (non esiste una versione a 32 bit)

· Yosemite 64.x a 10.10 bit (non esiste una versione a 32 bit)

· 64 bit 10.11.x El Capitan (non esiste una versione a 32 bit)

I formati di memoria supportati sono:

· Campione lineare grezzo (dd)

· File di ibernazione

· File dump di arresto anomalo

· Dump core di VirtualBox ELF64

· File di stato e snapshot salvati VMware

· Formato EWF (E01)

· Formato LiME (Linux Memory Extractor)

· Formato file Mach-o

· Dump di macchine virtuali QEMU

· FireWire

· HPAK (FDPro)

Gli spazi di indirizzi supportati (tipi di RAM) sono:

· AMD64PagedMemory - Spazio degli indirizzi standard AMD a 64 bit

· ArmAddressSpace - Spazio degli indirizzi per processori ARM

· FileAddressSpace - Questo è un file diretto AS

· HPAKAddressSpace - Questo AS supporta il formato HPAK

· IA32PagedMemoryPae - Questa classe implementa lo spazio degli indirizzi di paging PAE IA-32.
è responsabile

· IA32PagedMemory - Spazio degli indirizzi di paging standard IA-32

· LimeAddressSpace - Spazio degli indirizzi per Lime

· MachOAddressSpace - Spazio degli indirizzi per i file mach-o per supportare la memoria atc-ny
lettore

· OSXPmemELF - Questo AS supporta il formato coredump VirtualBox ELF64

· QemuCoreDumpElf - Questo AS supporta il formato coredump Qemu ELF32 e ELF64

· VirtualBoxCoreDumpElf64 - Questo AS supporta il formato coredump VirtualBox ELF64

· VMWareAddressSpace: questo AS supporta snapshot VMware (VMSS) e stato salvato
(VMSS) file

· VMWareMetaAddressSpace - Questo AS supporta il formato VMEM con VMSN/VMSS
metadati

· WindowsCrashDumpSpace32 - Questo AS supporta il formato Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - Questo AS supporta Windows BitMap Crash Dump
formato

· WindowsCrashDumpSpace64 - Questo AS supporta il formato Windows Crash Dump

· WindowsHiberFileSpace32 - Questo è uno spazio di indirizzi di ibernazione per Windows
file di ibernazione

Ci sono immagini di memoria esemplari per i test su
https://github.com/volatilityfoundation/volatilità/wiki/Campioni di memoria.

VERSIONI

-H, --Aiuto
Elenca tutte le opzioni disponibili e i loro valori predefiniti. I valori predefiniti possono essere impostati in
il file di configurazione (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
File di configurazione basato sull'utente.

-D, - debug
Debug Volatilità.

--plugins=PLUGIN
aggiuntivo plug-in directory da utilizzare (separati da due punti).

--Informazioni Stampa le informazioni su tutti gli oggetti registrati.

--cache-directory=/root/.cache/volatility
Directory in cui sono archiviati i file della cache.

--cache
Usa la memorizzazione nella cache.

--tz=TZ
Imposta il fuso orario per la visualizzazione dei timestamp usando pytz (se installato) o tzset

-f NOME DEL FILE, --nomefile=NOMEFILE
Nome file da utilizzare all'apertura di un file Immagine.

--profile=WinXPSP2x86
Nome del profilo da caricare (usa --Informazioni per visualizzare un elenco di profili supportati).

-l POSIZIONE, --location=UBICAZIONE
Una posizione URN da cui caricare uno spazio di indirizzi.

-w, --Scrivi
Abilita il supporto alla scrittura.

--dtb=DTB
Indirizzo DTB.

--shift=MAIUSC
Mac KASLR shift indirizzo.

--output=testo
Uscita in questo formato.

--file-output=FILE_OUTPUT
Scrivi l'output in questo file.

-in, --verboso
Informazioni dettagliate.

-g KDB, --kdbg=KDBG
Specifica un indirizzo virtuale KDBG specifico. Per Windows 64 a 8 bit e versioni successive questo è il
indirizzo di KdCopyDataBlock.

--vigore
Utilizzo forzato del profilo sospetto.

-k KPCR, --kpcr=KPCR
Specificare un indirizzo KPCR specifico.

--cookie=BISCOTTO
Specificare l'indirizzo di nt!ObHeaderCookie (valido solo per Windows 10).

PLUGINS E PROFILI

Il supportato plug-in comandi e profili possono essere visualizzati se si utilizza il comando '$
volatilità --Informazioni'. Nota che i plugin consentiti da Linux e MAC OSX avranno il 'linux_'
e 'mac_' prefissi. I plugin senza questi prefissi sono stati progettati per MS Windows.

I profili sono mappe utilizzate da Volatility per comprendere i sistemi operativi. La MS allowed consentita
I profili di Windows sono forniti da Volatility.

Devi creare i tuoi profili per Linux e MAC OSX. Per questo, sui sistemi Debian, leggi
il file README.Debian fornito da volatilità-pacchetto di strumenti.

Su MS Windows, per determinare il tipo di sistema operativo, puoi utilizzare:

$ volatilità -f informazioni sull'immagine

or

$ volatilità -f kdbgscan

AMBIENTE VARIABILI

Su un sistema GNU/Linux o OS X, queste variabili possono essere impostate:

· VOLATILITY_PROFILE - Specifica un profilo da utilizzare come predefinito, rendendo
inutile un '--profilo' opzione.

· VOLATILITY_LOCATION - Specifica il percorso di an Immagine. Quindi, il comando Volatilità
non avrà bisogno di un nome di file tramite '-f' opzione.

· VOLATILITY_KDBG - Specifica un indirizzo KDBG. Vedi PROCEDURE EXTRA per saperne di più
dettagli.

Altro (Eolico) plug-in i flag possono essere utilizzati in questo modo, ad esempio KPCR, DTB o PLUGINS. quando
esportando le variabili, prefisso semplicemente VOLATILITY_ prima del nome del flag (es
VOLATILITY_KPCR). In caso contrario, il nome della bandiera rimane lo stesso quando lo si aggiunge a
file di configurazione.

Se hai un percorso con uno o più spazi nel nome, gli spazi dovrebbero essere sostituiti con %20
invece (es. LOCATION=file:///tmp/my%20image.img).

Esempio:

$ esportazione VOLATILITY_PROFILE=Win7SP0x86
$ esporta VOLATILITY_LOCATION=file:///tmp/miaimmagine.img
$ esporta VOLATILITY_KDBG=0x82944c28

CONFIGURAZIONE FILE

I file di configurazione sono in genere 'volatilityrc' nella directory corrente o
'~/.volatilitàrc' nella directory home dell'utente, o nel percorso specificato dall'utente, usando il --conf-
filetto opzione. Un esempio del contenuto del file è mostrato di seguito:

[PREDEFINITO]
PROFILO=Win7SP0x86
POSIZIONE=file:///tmp/miaimmagine.img
KDBG=0x82944c28

Altro (Eolico) plug-in i flag possono essere utilizzati in questo modo, ad esempio KPCR, DTB o PLUGINS. quando
esportando le variabili, prefisso semplicemente VOLATILITY_ prima del nome del flag (es
VOLATILITY_KPCR). In caso contrario, il nome della bandiera rimane lo stesso quando lo si aggiunge a
file di configurazione.

Se hai un percorso con uno o più spazi nel nome, gli spazi dovrebbero essere sostituiti con %20
invece (es. LOCATION=file:///tmp/my%20image.img).

EXTRA PROCEDURE

Impostazione di un fuso orario

I timestamp estratti dalla memoria possono essere nell'ora locale del sistema o nell'ora universale
Coordinate (UTC). Se sono in UTC, Volatility può essere istruito a visualizzarli in un momento
zona di scelta dell'analista. Per scegliere un fuso orario, usa uno dei fusi orari standard
nomi (come America/Sao_Paulo, Europe/London, US/Eastern o la maggior parte dei fusi orari di Olson) con
il flag --tz=FUSO ORARIO.

Volatility tenta di usare pytz se installato, altrimenti usa tzset.

Tieni presente che la specifica di un fuso orario non influirà sulla modalità di visualizzazione dell'ora locale del sistema. Se
se identifichi un orario che sai essere basato sull'UTC, archivialo come problema nel tracker dei problemi.
Per impostazione predefinita, i timestamp _EPROCESS CreateTime e ExitTime sono in UTC.

Impostazione del DTB

Il DTB (Directory Table Base) è ciò che Volatility utilizza per tradurre gli indirizzi virtuali in fisici
indirizzi. Per impostazione predefinita, viene utilizzato un DTB del kernel (dal processo Idle/System). Se vuoi usare a
DTB di processo diverso quando si accede ai dati, fornire l'indirizzo a --dtb=ADDRESS.

Impostazione dell'indirizzo KDBG (questo è solo per Windows opzione)

La volatilità esegue la scansione per la struttura '_KDDEBUGGER_DATA64' utilizzando firme hardcoded "KDBG" e
una serie di controlli di sanità mentale. Queste firme non sono fondamentali per il funzionamento del sistema operativo
correttamente, quindi il malware può sovrascriverli nel tentativo di eliminare strumenti che si basano sul
firma. Inoltre, in alcuni casi potrebbe esserci più di un '_KDDEBUGGER_DATA64' (per
esempio se si applica un importante aggiornamento del sistema operativo e non si riavvia), che può causare confusione e portare a
elenchi di processi e moduli errati, tra gli altri problemi. Se conosci l'indirizzo
aggiungi '_KDDEBUGGER_DATA64', puoi specificarlo con --kdbg=ADDRESS e questo sovrascriverà l'automazione
scansioni. Per ulteriori informazioni, vedere il plugin kdbgscan.

Impostazione dell'indirizzo KPCR (questo è solo per Windows opzione)

C'è un KPCR (Kernel Processor Control Region) per ogni CPU su un sistema. Un po' di volatilità
i plugin visualizzano le informazioni per processore. Pertanto, se si desidera visualizzare i dati per una CPU specifica, per
esempio CPU 3 invece di CPU 1, puoi passare l'indirizzo del KPCR di quella CPU con --kpcr=ADDRESS.
Per individuare i KPCR per tutte le CPU, vedere il plugin kpcrscan. Si noti inoltre che a partire da Volatility 2.2,
molti dei plugin come idt e gdt iterano automaticamente attraverso l'elenco dei KPCR.

Abilitazione del supporto alla scrittura

Il supporto alla scrittura in Volatility dovrebbe essere usato con cautela. Pertanto, per abilitarlo effettivamente, è necessario
non solo digita --write sulla riga di comando ma devi digitare una "password" in risposta a una domanda che
ti verrà chiesto. Nella maggior parte dei casi non vorrai utilizzare il supporto in scrittura poiché può portare a
corruzione o modifica dei dati nel dump della memoria. Tuttavia, esistono casi speciali che fanno questo
caratteristica davvero interessante. Ad esempio, potresti ripulire un sistema attivo da determinati malware
scrivere sulla RAM tramite firewire, oppure potresti entrare in una workstation bloccata applicando patch ai byte nel
DLL di winlogon.

Specificare addizionale plug-in directory

L'architettura dei plugin di Volatility può caricare i file dei plugin da più directory contemporaneamente. Nel
Codice sorgente di volatilità, la maggior parte dei plugin si trova in volatilità/plugin. Tuttavia, c'è un altro
directory (volatility/contrib) riservata ai contributi di sviluppatori di terze parti, oppure
plugin supportati debolmente che semplicemente non sono abilitati per impostazione predefinita. Per accedere a questi plugin basta
digita --plugins=contrib/plugins sulla riga di comando. Ti consente anche di creare una directory separata
dei tuoi plugin che puoi gestire senza dover aggiungere/rimuovere/modificare file nel core
Directory di volatilità.

Note:

* Sui sistemi Debian, la directory contrib/plugins si trova in /usr/share/volatility/contrib/plugins.

* Verranno attraversate anche le sottodirectory purché sia ​​presente un file __init__.py (che può essere vuoto)
dentro di loro.

* Il parametro per --plugins può anche essere un file zip contenente i plugin come
come --plugins=myplugins.zip. A causa del modo in cui vengono caricati i plugin, la directory dei plugin esterni
o zip deve essere specificato prima di qualsiasi argomento specifico del plugin (incluso il nome del
collegare). Esempio:

$ volatility --plugins=contrib/plugins -f Esempio XPSP3x86.vmem

Scelta di un formato di output

Per impostazione predefinita, i plug-in utilizzano i renderer di testo per l'output standard. Se vuoi reindirizzare a un file, tu
ovviamente puoi usare il reindirizzamento della console (cioè > out.txt) oppure puoi usare --output-file=out.txt.
Il motivo per cui puoi anche scegliere --output=FORMAT è consentire ai plug-in di eseguire anche il rendering dell'output come HTML,
JSON, SQL o qualunque cosa tu scelga. Tuttavia, non ci sono plugin con quei formati di output alternativi
preconfigurato per l'uso, quindi dovrai aggiungere una funzione denominata render_html, render_json, render_sql,
rispettivamente a ciascun plugin prima di usare --output=HTML.

Opzioni specifiche del plugin

Molti plugin accettano argomenti propri, che sono indipendenti dalle opzioni globali. Per vedere il
elenco delle opzioni disponibili, digita sia il nome del plugin che -h/--help sulla riga di comando.

$ elenco dll volatilità -h

Modalità debug

Se qualcosa non sta accadendo in Volatility nel modo previsto, prova a eseguire il comando con -d/--debug.
Ciò consentirà la stampa di messaggi di debug su errore standard. Per più livelli di debug, come nell'uso
pdb debugger), aggiungi -d -d -d al comando.

Usare Volatility come libreria

Sebbene sia possibile utilizzare Volatility come libreria (ci sono piani per supportarlo meglio nel
futuro). Attualmente, per importare Volatility da uno script Python, è possibile utilizzare il seguente codice di esempio:

$ pitone
>>> importa volatility.conf come conf
>>> importa volatility.registry come registro
>>> registro.PluginImporter()

>>> config = conf.ConfObject()
>>> importa volatility.commands come comandi
>>> importa volatility.addrspace come addrspace
>>> registro.register_global_options(config, commands.Command)
>>> register.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> importa volatility.plugins.taskmods come taskmods
>>> p = taskmods.PSList(config)
>>> per il processo in p.calculate():
... processo di stampa

ESEMPI

Per vedere tutti i plug-in, i profili, i controlli dello scanner e gli spazi degli indirizzi disponibili:

$ volatilità --info

Per elencare tutti i processi attivi trovati in un MS Windows 8 SP0 Immagine:

$ volatilità -f win8.raw --profile=Win8SP0x86 pslist

Per elencare tutti i processi attivi trovati in un MS Windows 8 SP0 Immagine, utilizzando un fuso orario:

$ volatilità -f win8.raw --profile=Win8SP0x86 pslist --tz=America/San_Paolo

Per mostrare il kernel bnuffer da un Linux 3.2.63 Immagine:

$ volatilità -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

NOTE

Questa manpage è basata su alcuni test e diversi documenti ufficiali sulla volatilità. Per
altre informazioni e tutorial, vedere:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/volatilità/ Wiki

Usa la volatilità online utilizzando i servizi onworks.net