pagkasumpungin

PROGRAMA:

NAME

pagkasumpungin - advanced na memory forensics framework

SINOPSIS

pagkasumpungin [opsyon]
pagkasumpungin -f [larawan] --profile=[profile] [isaksak]

DESCRIPTION

Ang Volatility Framework ay isang ganap na bukas na koleksyon ng mga tool para sa pagkuha ng
mga digital na artifact mula sa mga sample ng volatile memory (RAM). Ito ay kapaki-pakinabang sa pagsusuri ng forensics.
Ang mga diskarte sa pagkuha ay ganap na independyente sa pagiging system
sinisiyasat ngunit nag-aalok ng hindi pa nagagawang visibility sa runtime na estado ng system.

Sinusuportahan ng volatility ang ilang bersyon ng MS Windows, Linux at MAC OSX:

MS Windows:

· 32-bit na Windows XP Service Pack 2 at 3

· 32-bit Windows 2003 Server Service Pack 0, 1, 2

· 32-bit na Windows Vista Service Pack 0, 1, 2

· 32-bit Windows 2008 Server Service Pack 1, 2 (walang SP0)

· 32-bit Windows 7 Service Pack 0, 1

· 32-bit na Windows 8, 8.1, at 8.1 Update 1

· 32-bit Windows 10 (paunang suporta)

· 64-bit Windows XP Service Pack 1 at 2 (walang SP0)

· 64-bit Windows 2003 Server Service Pack 1 at 2 (walang SP0)

· 64-bit na Windows Vista Service Pack 0, 1, 2

· 64-bit Windows 2008 Server Service Pack 1 at 2 (walang SP0)

· 64-bit Windows 2008 R2 Server Service Pack 0 at 1

· 64-bit Windows 7 Service Pack 0 at 1

· 64-bit na Windows 8, 8.1, at 8.1 Update 1

· 64-bit na Windows Server 2012 at 2012 R2

· 64-bit Windows 10 (paunang suporta)

Linux:

· 32-bit Linux kernels 2.6.11 hanggang 4.2.3

· 64-bit Linux kernels 2.6.11 hanggang 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, atbp

MacOSX:

· 32-bit 10.5.x Leopard (ang tanging 64-bit 10.5 ay Server, na hindi suportado)

· 32-bit 10.6.x Snow Leopard

· 64-bit 10.6.x Snow Leopard

· 32-bit 10.7.x Lion

· 64-bit 10.7.x Lion

· 64-bit 10.8.x Mountain Lion (walang 32-bit na bersyon)

· 64-bit 10.9.x Mavericks (walang 32-bit na bersyon)

· 64-bit 10.10.x Yosemite (walang 32-bit na bersyon)

· 64-bit 10.11.x El Capitan (walang 32-bit na bersyon)

Ang mga format ng memorya na sinusuportahan ay:

· Raw linear sample (dd)

· Hibernation file

· Crash dump file

· VirtualBox ELF64 core dump

· Na-save ng VMware ang estado at mga snapshot na file

· EWF format (E01)

· LiME (Linux Memory Extractor) na format

· Mach-o na format ng file

· QEMU virtual machine dumps

· Firewire

· HPAK (FDPro)

Ang mga sinusuportahang puwang ng address (mga uri ng RAM) ay:

· AMD64PagedMemory - Karaniwang AMD 64-bit address space

· ArmAddressSpace - Address space para sa mga processor ng ARM

· FileAddressSpace - Ito ay isang direktang file na AS

· HPAKAddressSpace - Sinusuportahan ng AS na ito ang format ng HPAK

· IA32PagedMemoryPae - Ang klase na ito ay nagpapatupad ng IA-32 PAE paging address space.
Ito ay responsable

· IA32PagedMemory - Karaniwang IA-32 paging address space

· LimeAddressSpace - Address space para sa Lime

· MachOAddressSpace - Address space para sa mach-o file para suportahan ang atc-ny memory
mambabasa

· OSXPmemELF - Ito AS ay sumusuporta sa VirtualBox ELF64 coredump format

· QemuCoreDumpElf - Sinusuportahan ng AS na ito ang Qemu ELF32 at ELF64 coredump na format

· VirtualBoxCoreDumpElf64 - Ito AS ay sumusuporta sa VirtualBox ELF64 coredump format

· VMWareAddressSpace - Sinusuportahan ng AS na ito ang VMware snapshot (VMSS) at naka-save na estado
(VMSS) na mga file

· VMWareMetaAddressSpace - Sinusuportahan ng AS na ito ang format ng VMEM na may VMSN/VMSS
metadata

· WindowsCrashDumpSpace32 - Sinusuportahan ng AS na ito ang format ng Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - Sinusuportahan ng AS na ito ang Windows BitMap Crash Dump
format

· WindowsCrashDumpSpace64 - Sinusuportahan ng AS na ito ang format ng Windows Crash Dump

· WindowsHiberFileSpace32 - Ito ay isang hibernate address space para sa mga bintana
mga file ng hibernation

Mayroong mga halimbawa ng memorya ng mga larawan para sa mga pagsubok sa
https://github.com/volatilityfoundation/pagkasumpungin/wiki/Memory-Samples.

Opsyon

-h, - Tumulong
Ilista ang lahat ng magagamit na opsyon at ang kanilang mga default na halaga. Maaaring itakda ang mga default na halaga
ang configuration file (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
Nakabatay sa user ang configuration file.

-d, --debug
Debug Volatility.

--plugins=PLUGINS
karagdagan isaksak mga direktoryo na gagamitin (pinaghihiwalay ng colon).

--impormasyon Mag-print ng impormasyon tungkol sa lahat ng nakarehistrong bagay.

--cache-directory=/root/.cache/volatility
Direktoryo kung saan naka-imbak ang mga cache file.

--cache
Gumamit ng caching.

--tz=TZ
Itakda ang timezone para sa pagpapakita ng mga timestamp gamit ang pytz (kung naka-install) o tzset

-f FILENAME, --filename=FILENAME
Filename na gagamitin kapag binubuksan ang isang larawan.

--profile=WinXPSP2x86
Pangalan ng profile na ilo-load (gamitin --impormasyon upang makita ang isang listahan ng mga sinusuportahang profile).

-l LOKASYON, --location=LOCATION
Isang lokasyon ng URN kung saan maglo-load ng isang address space.

-w, --sumulat
Paganahin ang suporta sa pagsulat.

--dtb=DTB
DTB Address.

--shift=SHIFT
Mac KASLR shift address.

--output=text
Output sa format na ito.

--output-file=OUTPUT_FILE
Isulat ang output sa file na ito.

-sa, --verbose
Pambihira na impormasyon.

-g KDBG, --kdbg=KDBG
Tukuyin ang isang partikular na KDBG virtual address. Para sa 64-bit Windows 8 at mas mataas ito ang
address ng KdCopyDataBlock.

--puwersa
Sapilitang paggamit ng profile ng pinaghihinalaan.

-k KPCR, --kpcr=KPCR
Tukuyin ang isang tiyak na KPCR address.

--cookie=COOKIE
Tukuyin ang address ng nt!ObHeaderCookie (valid para sa Windows 10 lang).

PLUGINS AT MGA PROFILES

Ang suportado isaksak Ang mga command at profile ay maaaring matingnan kung gumagamit ng command na '$
pagkasumpungin --impormasyon'. Tandaan na ang Linux at MAC OSX na pinapayagang mga plugin ay magkakaroon ng 'linux_'
at mga prefix na 'mac_'. Ang mga plugin na walang mga prefix na ito ay idinisenyo para sa MS Windows.

Ang mga profile ay mga mapa na ginagamit ng Volatility upang maunawaan ang mga operating system. Ang pinapayagan na MS
Ang mga profile sa Windows ay ibinibigay ng Volatility.

Dapat kang lumikha ng iyong sariling mga profile para sa Linux at MAC OSX. Para dito, sa mga Debian system, basahin
ang README.Debian file na ibinigay ni pagkasumpungin-pakete ng mga kasangkapan.

Sa MS Windows, upang matukoy ang uri ng OS, maaari mong gamitin ang:

$ pagkasumpungin -f imageinfo

or

$ pagkasumpungin -f kdbgscan

Kapaligiran MGA VARIABLE

Sa isang GNU/Linux o OS X system, maaaring itakda ang mga variable na ito:

· VOLATILITY_PROFILE - Tinutukoy ang isang profile na gagamitin bilang default, ginagawa
hindi kailangan a'--profile' opsyon.

· VOLATILITY_LOCATION - Tinutukoy ang landas ng isang larawan. Kaya, ang Volatility command
hindi mangangailangan ng pangalan ng file sa pamamagitan ng '-f' opsyon.

· VOLATILITY_KDBG - Tinutukoy ang isang KDBG address. Tingnan ang KARAGDAGANG PAMAMARAAN para sa higit pa
mga detalye.

iba isaksak ang mga flag ay maaaring gamitin sa ganitong paraan, halimbawa KPCR, DTB o PLUGINS. Kailan
pag-export ng mga variable, i-prefix lang ang VOLATILITY_ bago ang pangalan ng flag (hal
VOLATILITY_KPCR). Kung hindi, ang pangalan ng bandila ay nananatiling pareho kapag idinaragdag ito sa
configuration file.

Kung mayroon kang landas na may puwang o higit pa sa pangalan, ang mga puwang ay dapat palitan ng %20
sa halip (hal. LOCATION=file:///tmp/my%20image.img).

Halimbawa:

$ export VOLATILITY_PROFILE=Win7SP0x86
$ export VOLATILITY_LOCATION=file:///tmp/myimage.img
$ export VOLATILITY_KDBG=0x82944c28

Configuration MGA FILE

Ang mga configuration file ay karaniwang 'volatilityrc' sa kasalukuyang direktoryo o
'~/.volatilityrc' sa home directory ng user, o sa path na tinukoy ng user, gamit ang --conf-
file opsyon. Ang isang halimbawa ng mga nilalaman ng file ay ipinapakita sa ibaba:

[DEFAULT]
PROFILE=Win7SP0x86
LOCATION=file:///tmp/myimage.img
KDBG=0x82944c28

iba isaksak ang mga flag ay maaaring gamitin sa ganitong paraan, halimbawa KPCR, DTB o PLUGINS. Kailan
pag-export ng mga variable, i-prefix lang ang VOLATILITY_ bago ang pangalan ng flag (hal
VOLATILITY_KPCR). Kung hindi, ang pangalan ng bandila ay nananatiling pareho kapag idinaragdag ito sa
configuration file.

Kung mayroon kang landas na may puwang o higit pa sa pangalan, ang mga puwang ay dapat palitan ng %20
sa halip (hal. LOCATION=file:///tmp/my%20image.img).

EXTRA PAMAMARAAN

Pagtatakda ng timezone

Ang mga timestamp na nakuha mula sa memorya ay maaaring nasa system-local na oras, o sa Universal Time
Mga Coordinate (UTC). Kung sila ay nasa UTC, ang Volatility ay maaaring turuan na ipakita ang mga ito sa isang pagkakataon
zone ng pagpili ng analyst. Upang pumili ng timezone, gamitin ang isa sa karaniwang timezone
mga pangalan (gaya ng America/Sao_Paulo, Europe/London, US/Eastern o karamihan sa mga timezone ng Olson) na may
ang flag --tz=TIMEZONE.

Ang pagkasumpungin ay sumusubok na gumamit ng pytz kung naka-install, kung hindi man ay gumagamit ito ng tzset.

Pakitandaan na ang pagtukoy ng timezone ay hindi makakaapekto sa kung paano ipinapakita ang system-local na mga oras. Kung
natukoy mo ang isang oras na alam mong nakabatay sa UTC, mangyaring i-file ito bilang isang isyu sa tagasubaybay ng isyu.
Bilang default, ang mga timestamp ng _EPROCESS CreateTime at ExitTime ay nasa UTC.

Pagtatakda ng DTB

Ang DTB (Directory Table Base) ay ang ginagamit ng Volatility upang isalin ang mga virtual na address sa pisikal
mga address. Bilang default, isang kernel DTB ang ginagamit (mula sa proseso ng Idle/System). Kung gusto mong gumamit ng a
ibang DTB ng proseso kapag nag-a-access ng data, ibigay ang address sa --dtb=ADDRESS.

Ang pagtatakda ng KDBG address (ito ay isang Windows-only opsyon)

Ang pagkasumpungin ay nag-scan para sa istrukturang '_KDDEBUGGER_DATA64' gamit ang mga hard-coded na lagda na "KDBG" at
isang serye ng mga pagsusuri sa katinuan. Ang mga lagdang ito ay hindi kritikal para gumana ang operating system
nang maayos, kaya maaaring ma-overwrite ng malware ang mga ito sa pagtatangkang itapon ang mga tool na umaasa sa
lagda. Bilang karagdagan, sa ilang mga kaso ay maaaring mayroong higit sa isang '_KDDEBUGGER_DATA64' (para sa
halimbawa kung nag-apply ka ng pangunahing pag-update ng OS at hindi nagre-reboot), na maaaring magdulot ng pagkalito at humantong sa
maling proseso at mga listahan ng module, bukod sa iba pang mga problema. Kung alam mo ang address
idagdag ang '_KDDEBUGGER_DATA64', maaari mo itong tukuyin gamit ang --kdbg=ADDRESS at ito ay na-override ang automated
mga pag-scan. Para sa higit pang impormasyon, tingnan ang kdbgscan plugin.

Ang pagtatakda ng KPCR address (ito ay isang Windows-only opsyon)

Mayroong isang KPCR (Kernel Processor Control Region) para sa bawat CPU sa isang system. Ilang Volatility
ang mga plugin ay nagpapakita ng impormasyon sa bawat processor. Kaya kung gusto mong magpakita ng data para sa isang partikular na CPU, para sa
halimbawa CPU 3 sa halip na CPU 1, maaari mong ipasa ang address ng KPCR ng CPU na iyon gamit ang --kpcr=ADDRESS.
Para mahanap ang mga KPCR para sa lahat ng CPU, tingnan ang kpcrscan plugin. Tandaan din na simula sa Volatility 2.2,
marami sa mga plugin tulad ng idt at gdt ay awtomatikong umuulit sa listahan ng mga KPCR.

Paganahin ang suporta sa pagsulat

Ang pagsulat ng suporta sa Volatility ay dapat gamitin nang may pag-iingat. Samakatuwid, upang aktwal na paganahin ito, kailangan mo
hindi lamang mag-type --write sa command-line ngunit kailangan mong mag-type ng 'password' bilang tugon sa isang tanong na iyon
sasabihan ka ng. Sa karamihan ng mga kaso hindi mo nais na gumamit ng suporta sa pagsulat dahil maaari itong humantong sa
katiwalian o pagbabago ng data sa iyong memory dump. Gayunpaman, mayroong mga espesyal na kaso na gumagawa nito
tampok na talagang kawili-wili. Halimbawa, maaari mong linisin ang isang live na system ng ilang partikular na malware sa pamamagitan ng
sumusulat sa RAM sa pamamagitan ng firewire, o maaari kang pumasok sa isang naka-lock na workstation sa pamamagitan ng paglalagay ng mga byte sa
winlogon DLLs.

Tinutukoy ang karagdagang isaksak mga direktoryo

Ang arkitektura ng plugin ng volatility ay maaaring mag-load ng mga file ng plugin mula sa maraming direktoryo nang sabay-sabay. Nasa
Volatility source code, karamihan sa mga plugin ay matatagpuan sa volatility/plugin. Gayunpaman, may isa pa
direktoryo (volatility/contrib) na nakalaan para sa mga kontribusyon mula sa mga third party na developer, o
mahinang sinusuportahang mga plugin na hindi pinagana bilang default. Upang ma-access ang mga plugin na ito mo lang
type --plugins=contrib/plugins sa command-line. Nagbibigay-daan din ito sa iyo na lumikha ng isang hiwalay na direktoryo
ng iyong sariling mga plugin na maaari mong pamahalaan nang hindi kinakailangang magdagdag/mag-alis/magbago ng mga file sa core
Mga direktoryo ng pagkasumpungin.

Mga Tala:

* Sa mga sistema ng Debian, ang direktoryo ng contrib/plugins ay nasa /usr/share/volatility/contrib/plugins.

* Ang mga subdirectory ay dadaanan din hangga't mayroong __init__.py file (na maaaring walang laman)
sa loob nila.

* Ang parameter sa --plugins ay maaari ding isang zip file na naglalaman ng mga plugin tulad nito
bilang --plugins=myplugins.zip. Dahil sa paraan ng paglo-load ng mga plugin, ang direktoryo ng mga panlabas na plugin
o zip file ay dapat tukuyin bago ang anumang mga argumentong tukoy sa plugin (kabilang ang pangalan ng
isaksak). Halimbawa:

$ volatility --plugins=contrib/plugins -f XPSP3x86.vmem halimbawa

Pagpili ng isang format ng output

Bilang default, gumagamit ang mga plugin ng mga text renderer sa karaniwang output. Kung gusto mong mag-redirect sa isang file, ikaw
siyempre maaari mong gamitin ang pag-redirect ng console (ibig sabihin > out.txt) o maaari mong gamitin ang --output-file=out.txt.
Ang dahilan kung bakit maaari mo ring piliin ang --output=FORMAT ay para sa pagpayag sa mga plugin na mag-render din ng output bilang HTML,
JSON, SQL, o anumang pipiliin mo. Gayunpaman, walang mga plugin na may mga kahaliling format ng output na iyon
na-pre-configure para sa paggamit, kaya kakailanganin mong magdagdag ng function na pinangalanang render_html, render_json, render_sql,
ayon sa pagkakabanggit sa bawat plugin bago gamitin --output=HTML.

Mga pagpipilian sa partikular na plugin

Maraming plugin ang tumatanggap ng sarili nilang argumento, na independiyente sa mga pandaigdigang opsyon. Upang makita ang
listahan ng mga magagamit na opsyon, i-type ang parehong pangalan ng plugin at -h/--help sa command-line.

$ volatility dlllist -h

Mode ng pag-debug

Kung may hindi nangyayari sa Volatility sa inaasahang paraan, subukang patakbuhin ang command gamit ang -d/--debug.
Ito ay magbibigay-daan sa pag-print ng mga mensahe sa pag-debug sa karaniwang error. Sa higit pang mga antas ng pag-debug, tulad ng sa paggamit
pdb debugger), idagdag ang -d -d -d sa utos.

Paggamit ng Volatility bilang isang library

Bagama't posible na gamitin ang Volatility bilang isang library, (may mga planong suportahan ito nang mas mahusay sa
kinabukasan). Sa kasalukuyan, upang mag-import ng Volatility mula sa isang script ng python, maaaring gamitin ang sumusunod na halimbawang code:

$ sawa
>>> import volatility.conf bilang conf
>>> import volatility.registry bilang registry
>>> registry.PluginImporter()

>>> config = conf.ConfObject()
>>> import volatility.commands bilang mga command
>>> import volatility.addrspace bilang addrspace
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> mag-import ng volatility.plugins.taskmods bilang taskmods
>>> p = taskmods.PSList(config)
>>> para sa proseso sa p.calculate():
... proseso ng pag-print

HALIMBAWA

Para makita ang lahat ng available na plugin, profile, pagsusuri ng scanner at address space:

$ volatility --info

Upang ilista ang lahat ng aktibong proseso na makikita sa isang MS Windows 8 SP0 larawan:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist

Upang ilista ang lahat ng aktibong proseso na makikita sa isang MS Windows 8 SP0 larawan, gamit ang isang timezone:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist --tz=America/Sao_Paulo

Upang ipakita ang kernel bnuffer mula sa isang Linux 3.2.63 larawan:

$ volatility -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

NOTA

Ang manpage na ito ay batay sa ilang pagsubok at ilang opisyal na dokumento tungkol sa Volatility. Para sa
iba pang impormasyon at mga tutorial, tingnan ang:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/pagkasumpungin/wiki

Gumamit ng volatility online gamit ang mga serbisyo ng onworks.net