kemeruapan

JADUAL:

NAMA

kemeruapan - rangka kerja forensik ingatan lanjutan

SINOPSIS

kemeruapan [pilihan]
kemeruapan -f [gambar] --profil=[profil] [Pasangkan]

DESCRIPTION

Rangka Kerja Volatiliti ialah koleksi alat yang terbuka sepenuhnya untuk pengekstrakan
artifak digital daripada sampel memori yang tidak menentu (RAM). Ia berguna dalam analisis forensik.
Teknik pengekstrakan dilakukan sepenuhnya bebas daripada sistem
disiasat tetapi menawarkan keterlihatan yang tidak pernah berlaku sebelum ini ke dalam keadaan masa jalan sistem.

Volatiliti menyokong beberapa versi MS Windows, Linux dan MAC OSX:

MS Windows:

· Pek Perkhidmatan 32 dan 2 Windows XP 3-bit

· Pek Perkhidmatan Pelayan Windows 32 2003-bit 0, 1, 2

· Pek Perkhidmatan Windows Vista 32-bit 0, 1, 2

· Pek Perkhidmatan Pelayan Windows 32 2008-bit 1, 2 (tiada SP0)

· Pek Perkhidmatan Windows 32 7-bit 0, 1

· Kemas Kini Windows 32, 8 dan 8.1 8.1-bit 1

· Windows 32 10-bit (sokongan awal)

· Pek Perkhidmatan 64 dan 1 Windows XP 2-bit (tiada SP0)

· Pek Perkhidmatan Pelayan Windows 64 2003-bit 1 dan 2 (tiada SP0)

· Pek Perkhidmatan Windows Vista 64-bit 0, 1, 2

· Pek Perkhidmatan Pelayan Windows 64 2008-bit 1 dan 2 (tiada SP0)

· Pek Perkhidmatan 64 dan 2008 Pelayan Windows 2 R0 1-bit

· Pek Perkhidmatan 64 dan 7 Windows 0 1-bit

· Kemas Kini Windows 64, 8 dan 8.1 8.1-bit 1

· Pelayan Windows 64-bit 2012 dan 2012 R2

· Windows 64 10-bit (sokongan awal)

Linux:

· Kernel Linux 32-bit 2.6.11 hingga 4.2.3

· Kernel Linux 64-bit 2.6.11 hingga 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, dll

Mac OS X:

· 32-bit 10.5.x Leopard (satu-satunya 64-bit 10.5 ialah Pelayan, yang tidak disokong)

· 32-bit 10.6.x Snow Leopard

· 64-bit 10.6.x Snow Leopard

· 32-bit 10.7.x Lion

· 64-bit 10.7.x Lion

· 64-bit 10.8.x Mountain Lion (tiada versi 32-bit)

· 64-bit 10.9.x Mavericks (tiada versi 32-bit)

· 64-bit 10.10.x Yosemite (tiada versi 32-bit)

· 64-bit 10.11.x El Capitan (tiada versi 32-bit)

Format memori yang disokong ialah:

· Sampel linear mentah (dd)

· Fail hibernasi

· Fail pembuangan ranap

· Tempat pembuangan teras VirtualBox ELF64

· VMware menyimpan fail keadaan dan syot kilat

· Format EWF (E01)

· Format LiME (Linux Memory Extractor).

· Format fail Mach-o

· Tempat pembuangan mesin maya QEMU

· Firewire

· HPAK (FDPro)

Ruang alamat yang disokong (jenis RAM) ialah:

· AMD64PagedMemory - Ruang alamat standard AMD 64-bit

· ArmAddressSpace - Ruang alamat untuk pemproses ARM

· FileAddressSpace - Ini ialah fail langsung AS

· HPAKAddressSpace - AS ini menyokong format HPAK

· IA32PagedMemoryPae - Kelas ini melaksanakan ruang alamat paging IA-32 PAE.
Ia bertanggungjawab

· IA32PagedMemory - Ruang alamat paging IA-32 standard

· LimeAddressSpace - Ruang alamat untuk Lime

· MachOAddressSpace - Ruang alamat untuk fail mach-o untuk menyokong memori atc-ny
pembaca

· OSXPmemELF - AS ini menyokong format coredump VirtualBox ELF64

· QemuCoreDumpElf - AS ini menyokong format coredump Qemu ELF32 dan ELF64

· VirtualBoxCoreDumpElf64 - AS ini menyokong format coredump VirtualBox ELF64

· VMWareAddressSpace - AS ini menyokong syot kilat VMware (VMSS) dan keadaan disimpan
(VMSS) fail

· VMWareMetaAddressSpace - AS ini menyokong format VMEM dengan VMSN/VMSS
metadata

· WindowsCrashDumpSpace32 - AS ini menyokong format Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - AS ini menyokong Windows BitMap Crash Dump
format

· WindowsCrashDumpSpace64 - AS ini menyokong format Windows Crash Dump

· WindowsHiberFileSpace32 - Ini ialah ruang alamat hibernate untuk tingkap
fail hibernasi

Terdapat imej memori contoh untuk ujian di
https://github.com/volatilityfoundation/kemeruapan/wiki/Sampel-Memori.

PILIHAN

-h, - membantu
Senaraikan semua pilihan yang tersedia dan nilai lalainya. Nilai lalai mungkin ditetapkan
fail konfigurasi (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
Fail konfigurasi berasaskan pengguna.

-d, --nyahpepijat
Nyahpepijat Kemeruapan.

--plugins=Plugins
Tambahan Pasangkan direktori untuk digunakan (dipisahkan kolon).

--maklumat Cetak maklumat tentang semua objek berdaftar.

--cache-directory=/root/.cache/volatility
Direktori tempat fail cache disimpan.

--cache
Gunakan caching.

--tz=TZ
Tetapkan zon waktu untuk memaparkan cap masa menggunakan pytz (jika dipasang) atau tzset

-f NAMA FAIL, --filename=FILENAME
Nama fail untuk digunakan semasa membuka fail gambar.

--profile=WinXPSP2x86
Nama profil untuk dimuatkan (gunakan --maklumat untuk melihat senarai profil yang disokong).

-l LOKASI, --location=LOCATION
Lokasi URN untuk memuatkan ruang alamat.

-w, --tulis
Dayakan sokongan tulis.

--dtb=DTB
Alamat DTB.

--shift=SHIFT
Alamat peralihan Mac KASLR.

--output=teks
Output dalam format ini.

--output-file=OUTPUT_FILE
Tulis output dalam fail ini.

-v, --verbose
Maklumat verbose.

-g KDBG, --kdbg=KDBG
Tentukan alamat maya KDBG tertentu. Untuk Windows 64 8-bit dan ke atas ini adalah
alamat KdCopyDataBlock.

- kekuatan
Penggunaan paksa profil suspek.

-k KPCR, --kpcr=KPCR
Nyatakan alamat KPCR tertentu.

--cookie=COOKIE
Nyatakan alamat nt!ObHeaderCookie (sah untuk Windows 10 sahaja).

plugin DAN PROFIL

Yang disokong Pasangkan arahan dan profil boleh dilihat jika menggunakan arahan '$
kemeruapan --maklumat'. Ambil perhatian bahawa pemalam yang dibenarkan Linux dan MAC OSX akan mempunyai 'linux_'
dan awalan 'mac_'. Pemalam tanpa awalan ini direka untuk MS Windows.

Profil ialah peta yang digunakan oleh Volatiliti untuk memahami sistem operasi. MS yang dibenarkan
Profil Windows disediakan oleh Volatiliti.

Anda mesti membuat profil anda sendiri untuk Linux dan MAC OSX. Untuk ini, pada sistem Debian, baca
fail README.Debian yang disediakan oleh kemeruapan-pakej alatan.

Pada MS Windows, untuk menentukan jenis OS, anda boleh menggunakan:

$ turun naik -f info gambar

or

$ turun naik -f kdbgscan

PERSEKITARAN PELBAGAI

Pada sistem GNU/Linux atau OS X, pembolehubah ini boleh ditetapkan:

· VOLATILITY_PROFILE - Menentukan profil untuk digunakan sebagai lalai, membuat
tidak perlu '--profil' pilihan.

· VOLATILITY_LOCATION - Menentukan laluan a gambar. Jadi, arahan Volatiliti
tidak memerlukan nama fail melalui '-f' pilihan.

· VOLATILITY_KDBG - Menentukan alamat KDBG. Lihat PROSEDUR TAMBAHAN untuk lebih lanjut
butiran.

lain-lain Pasangkan bendera boleh digunakan dengan cara ini, contohnya KPCR, DTB atau PLUGINS. Bila
mengeksport pembolehubah, hanya awalan VOLATILITI_ sebelum nama bendera (cth
VOLATILITY_KPCR). Jika tidak, nama bendera kekal sama apabila menambahkannya pada
fail konfigurasi.

Jika anda mempunyai laluan dengan ruang atau lebih dalam nama, ruang hendaklah digantikan dengan % 20
sebaliknya (cth LOCATION=file:///tmp/my%20image.img).

Contoh:

$ eksport VOLATILITY_PROFILE=Win7SP0x86
$ eksport VOLATILITY_LOCATION=file:///tmp/myimage.img
$ eksport VOLATILITY_KDBG=0x82944c28

CONFIGURATION FILES

Fail konfigurasi biasanya 'volatilityrc' dalam direktori semasa atau
'~/.volatilityrc' dalam direktori rumah pengguna, atau pada laluan yang ditentukan pengguna, menggunakan --conf-
fail pilihan. Contoh kandungan fail ditunjukkan di bawah:

[DEFAULT]
PROFIL=Win7SP0x86
LOKASI=file:///tmp/myimage.img
KDBG=0x82944c28

lain-lain Pasangkan bendera boleh digunakan dengan cara ini, contohnya KPCR, DTB atau PLUGINS. Bila
mengeksport pembolehubah, hanya awalan VOLATILITI_ sebelum nama bendera (cth
VOLATILITY_KPCR). Jika tidak, nama bendera kekal sama apabila menambahkannya pada
fail konfigurasi.

Jika anda mempunyai laluan dengan ruang atau lebih dalam nama, ruang hendaklah digantikan dengan % 20
sebaliknya (cth LOCATION=file:///tmp/my%20image.img).

EXTRA PROSEDUR

Menetapkan zon waktu

Cap masa yang diekstrak daripada ingatan boleh sama ada dalam masa tempatan sistem, atau dalam Masa Universal
Koordinat (UTC). Jika mereka berada dalam UTC, Volatiliti boleh diarahkan untuk memaparkannya dalam satu masa
zon pilihan penganalisis. Untuk memilih zon waktu, gunakan salah satu zon waktu standard
nama (seperti Amerika/Sao_Paulo, Eropah/London, AS/Timur atau kebanyakan zon waktu Olson) dengan
bendera --tz=TIMEZONE.

Volatiliti cuba menggunakan pytz jika dipasang, jika tidak ia menggunakan tzset.

Sila ambil perhatian bahawa menentukan zon waktu tidak akan menjejaskan cara masa tempatan sistem dipaparkan. Jika
anda mengenal pasti masa yang anda tahu adalah berasaskan UTC, sila failkannya sebagai isu dalam penjejak isu.
Secara lalai, cap waktu _EPROCESS CreateTime dan ExitTime berada dalam UTC.

Menetapkan DTB

DTB (Pangkalan Jadual Direktori) ialah apa yang Volatility gunakan untuk menterjemah alamat maya kepada fizikal
alamat. Secara lalai, kernel DTB digunakan (daripada proses Idle/System). Jika anda ingin menggunakan a
DTB proses yang berbeza apabila mengakses data, berikan alamat kepada --dtb=ADDRESS.

Menetapkan alamat KDBG (ini adalah Windows sahaja pilihan)

Kemeruapan mengimbas struktur '_KDDEBUGGER_DATA64' menggunakan tandatangan berkod keras "KDBG" dan
satu siri pemeriksaan kewarasan. Tandatangan ini tidak penting untuk sistem pengendalian berfungsi
dengan betul, oleh itu perisian hasad boleh menimpanya dalam usaha untuk membuang alatan yang bergantung pada
tandatangan. Selain itu, dalam sesetengah kes mungkin terdapat lebih daripada satu '_KDDEBUGGER_DATA64' (untuk
contoh jika anda menggunakan kemas kini OS utama dan tidak but semula), yang boleh menyebabkan kekeliruan dan membawa kepada
proses dan penyenaraian modul yang salah, antara masalah lain. Jika anda tahu alamatnya
tambah '_KDDEBUGGER_DATA64', anda boleh menentukannya dengan --kdbg=ADDRESS dan ini mengatasi automatik
imbasan. Untuk maklumat lanjut, lihat pemalam kdbgscan.

Menetapkan alamat KPCR (ini adalah Windows sahaja pilihan)

Terdapat satu KPCR (Wilayah Kawalan Pemproses Kernel) untuk setiap CPU pada sistem. Beberapa Kemeruapan
pemalam memaparkan maklumat setiap pemproses. Oleh itu jika anda ingin memaparkan data untuk CPU tertentu, untuk
contoh CPU 3 dan bukannya CPU 1, anda boleh menghantar alamat KPCR CPU tersebut dengan --kpcr=ADDRESS.
Untuk mencari KPCR untuk semua CPU, lihat pemalam kpcrscan. Juga ambil perhatian bahawa bermula dalam Volatiliti 2.2,
banyak pemalam seperti idt dan gdt secara automatik beralih melalui senarai KPCR.

Mendayakan sokongan tulis

Tulis sokongan dalam Volatiliti harus digunakan dengan berhati-hati. Oleh itu, untuk benar-benar membolehkannya, anda mesti
bukan sahaja taip --write pada baris arahan tetapi anda mesti menaip 'kata laluan' sebagai jawapan kepada soalan itu
anda akan digesa dengan. Dalam kebanyakan kes, anda tidak akan mahu menggunakan sokongan tulis kerana ia boleh membawa kepada
kerosakan atau pengubahsuaian data dalam pembuangan memori anda. Walau bagaimanapun, terdapat kes-kes khas yang menyebabkan ini
ciri yang sangat menarik. Contohnya, anda boleh membersihkan sistem langsung daripada perisian hasad tertentu dengan
menulis kepada RAM melalui firewire, atau anda boleh memecah masuk ke stesen kerja terkunci dengan menampal bait dalam
winlogon DLL.

Menentukan tambahan Pasangkan direktori

Seni bina pemalam Volatility boleh memuatkan fail pemalam daripada berbilang direktori serentak. Di dalam
Kod sumber volatiliti, kebanyakan pemalam terletak dalam turun naik/plugin. Namun, ada satu lagi
direktori (volatiliti/contrib) yang dikhaskan untuk sumbangan daripada pembangun pihak ketiga, atau
pemalam yang disokong lemah yang tidak didayakan secara lalai. Untuk mengakses pemalam ini anda hanya
taip --plugins=contrib/plugins pada baris arahan. Ia juga membolehkan anda membuat direktori yang berasingan
pemalam anda sendiri yang boleh anda uruskan tanpa perlu menambah/mengalih keluar/ubah suai fail dalam teras
Direktori turun naik.

Nota:

* Pada sistem Debian, direktori contrib/plugins berada di /usr/share/volatility/contrib/plugins.

* Subdirektori juga akan dilalui selagi terdapat fail __init__.py (yang boleh kosong)
dalam diri mereka.

* Parameter kepada --plugins juga boleh menjadi fail zip yang mengandungi pemalam tersebut
sebagai --plugins=myplugins.zip. Disebabkan oleh cara pemalam dimuatkan, direktori pemalam luaran
atau fail zip mesti dinyatakan sebelum sebarang argumen khusus pemalam (termasuk nama fail
pasangkan). Contoh:

$ volatiliti --plugins=contrib/plugins -f contoh XPSP3x86.vmem

Memilih format output

Secara lalai, pemalam menggunakan pemapar teks kepada output standard. Jika anda ingin mengubah hala ke fail, anda
sudah tentu boleh menggunakan ubah hala konsol (iaitu > out.txt) atau anda boleh menggunakan --output-file=out.txt.
Sebab anda juga boleh memilih --output=FORMAT adalah untuk membenarkan pemalam untuk turut memberikan output sebagai HTML,
JSON, SQL, atau apa sahaja yang anda pilih. Walau bagaimanapun, tiada pemalam dengan format keluaran alternatif tersebut
prakonfigurasi untuk digunakan, jadi anda perlu menambah fungsi bernama render_html, render_json, render_sql,
masing-masing kepada setiap pemalam sebelum menggunakan --output=HTML.

Pilihan khusus pemalam

Banyak pemalam menerima hujah mereka sendiri, yang bebas daripada pilihan global. Untuk melihat
senarai pilihan yang tersedia, taip kedua-dua nama pemalam dan -h/--help pada baris arahan.

$ turun naik dlllist -h

mod debug

Jika sesuatu tidak berlaku dalam Volatiliti seperti yang diharapkan, cuba jalankan arahan dengan -d/--debug.
Ini akan membolehkan pencetakan mesej nyahpepijat kepada ralat standard. Untuk lebih banyak tahap nyahpepijat, seperti dalam menggunakan
pdb debugger), tambah -d -d -d pada arahan.

Menggunakan Volatiliti sebagai perpustakaan

Walaupun kemungkinan untuk menggunakan Volatility sebagai perpustakaan, (terdapat rancangan untuk menyokongnya dengan lebih baik dalam
masa depan). Pada masa ini, untuk mengimport Volatiliti daripada skrip python, kod contoh berikut boleh digunakan:

$ ular sawa
>>> turun naik import.conf sebagai conf
>>> import volatility.registry sebagai registry
>>> registry.PluginImporter()

>>> config = conf.ConfObject()
>>> turun naik import.perintah sebagai arahan
>>> turun naik import.addrspace sebagai addrspace
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> import volatiliti.plugins.taskmods sebagai taskmods
>>> p = taskmods.PSList(config)
>>> untuk proses dalam p.calculate():
... proses cetakan

CONTOH

Untuk melihat semua pemalam, profil, semakan pengimbas dan ruang alamat yang tersedia:

$ volatiliti --info

Untuk menyenaraikan semua proses aktif yang terdapat dalam MS Windows 8 SP0 gambar:

$ volatiliti -f win8.raw --profile=Win8SP0x86 pslist

Untuk menyenaraikan semua proses aktif yang terdapat dalam MS Windows 8 SP0 gambar, menggunakan zon waktu:

$ volatiliti -f win8.raw --profile=Win8SP0x86 pslist --tz=America/Sao_Paulo

Untuk menunjukkan bnuffer kernel daripada Linux 3.2.63 gambar:

$ volatiliti -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

NOTA

Halaman manual ini berdasarkan beberapa ujian dan beberapa dokumen rasmi tentang Volatiliti. Untuk
maklumat dan tutorial lain, lihat:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/kemeruapan/wiki

Gunakan turun naik dalam talian menggunakan perkhidmatan onworks.net