volatilitas - Online di Cloud

PROGRAM:

NAMA

keriangan - kerangka forensik memori tingkat lanjut

RINGKASAN

keriangan [Option]
keriangan -f [gambar] --Profil=[profil] [Plugin]

DESKRIPSI

Kerangka Kerja Volatilitas adalah kumpulan alat yang sepenuhnya terbuka untuk ekstraksi
artefak digital dari sampel memori volatil (RAM). Hal ini berguna dalam analisis forensik.
Teknik ekstraksi dilakukan sepenuhnya independen dari sistem yang sedang
diselidiki tetapi menawarkan visibilitas yang belum pernah terjadi sebelumnya ke dalam status runtime sistem.

Volatilitas mendukung beberapa versi MS Windows, Linux dan MAC OSX:

MS Windows:

· Paket Layanan Windows XP 32-bit 2 dan 3

· Paket Layanan Server Windows 32 2003-bit 0, 1, 2

· Paket Layanan Windows Vista 32-bit 0, 1, 2

· 32-bit Windows 2008 Server Service Pack 1, 2 (tidak ada SP0)

· Paket Layanan Windows 32 7-bit 0, 1

· Pembaruan Windows 32, 8, dan 8.1 8.1-bit 1

· Windows 32 10-bit (dukungan awal)

· 64-bit Windows XP Service Pack 1 dan 2 (tidak ada SP0)

· 64-bit Windows 2003 Server Service Pack 1 dan 2 (tidak ada SP0)

· Paket Layanan Windows Vista 64-bit 0, 1, 2

· 64-bit Windows 2008 Server Service Pack 1 dan 2 (tidak ada SP0)

· 64-bit Windows 2008 R2 Server Service Pack 0 dan 1

· 64-bit Windows 7 Service Pack 0 dan 1

· Pembaruan Windows 64, 8, dan 8.1 8.1-bit 1

· 64-bit Windows Server 2012 dan 2012 R2

· Windows 64 10-bit (dukungan awal)

Linux:

· Kernel Linux 32-bit 2.6.11 hingga 4.2.3

· Kernel Linux 64-bit 2.6.11 hingga 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, dll

MacOSX:

· 32-bit 10.5.x Leopard (satu-satunya 64-bit 10.5 adalah Server, yang tidak didukung)

· Macan Tutul Salju 32-bit 10.6.x

· Macan Tutul Salju 64-bit 10.6.x

· 32-bit 10.7.x Singa

· 64-bit 10.7.x Singa

· 64-bit 10.8.x Mountain Lion (tidak ada versi 32-bit)

· 64-bit 10.9.x Mavericks (tidak ada versi 32-bit)

· 64-bit 10.10.x Yosemite (tidak ada versi 32-bit)

· 64-bit 10.11.x El Capitan (tidak ada versi 32-bit)

Format memori yang didukung adalah:

· Sampel linier mentah (dd)

· File hibernasi

· File crash dump

· Pembuangan inti VirtualBox ELF64

· VMware menyimpan status dan file snapshot

· Format EWF (E01)

· Format LiME (Linux Memory Extractor)

· Format file Mach-o

· Tempat pembuangan mesin virtual QEMU

· Kabel Api

· HPAK (FDPro)

Ruang alamat yang didukung (tipe RAM) adalah:

· AMD64PagedMemory - Ruang alamat 64-bit AMD standar

· ArmAddressSpace - Ruang alamat untuk prosesor ARM

· FileAddressSpace - Ini adalah file langsung AS

· HPAKAddressSpace - AS ini mendukung format HPAK

· IA32PagedMemoryPae - Kelas ini mengimplementasikan ruang alamat paging IA-32 PAE.
Ini bertanggung jawab

· IA32PagedMemory - Ruang alamat paging standar IA-32

· LimeAddressSpace - Ruang alamat untuk Lime

· MachOAddressSpace - Ruang alamat untuk file mach-o untuk mendukung memori atc-ny
pembaca

· OSXPmemELF - AS ini mendukung format coredump VirtualBox ELF64

· QemuCoreDumpElf - AS ini mendukung format coredump Qemu ELF32 dan ELF64

· VirtualBoxCoreDumpElf64 - AS ini mendukung format coredump VirtualBox ELF64

· VMWareAddressSpace - AS ini mendukung VMware snapshot (VMSS) dan status tersimpan
(VMSS) file

· VMWareMetaAddressSpace - AS ini mendukung format VMEM dengan VMSN/VMSS
metadata

· WindowsCrashDumpSpace32 - AS ini mendukung format Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - AS ini mendukung Windows BitMap Crash Dump
format

· WindowsCrashDumpSpace64 - AS ini mendukung format Windows Crash Dump

· WindowsHiberFileSpace32 - Ini adalah ruang alamat hibernasi untuk windows
file hibernasi

Ada contoh gambar memori untuk tes di
https://github.com/volatilityfoundation/keriangan/wiki/Contoh-Memori.

PILIHAN

-H, --membantu
Daftar semua opsi yang tersedia dan nilai defaultnya. Nilai default dapat diatur dalam
file konfigurasi (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
File konfigurasi berbasis pengguna.

-D, --debug
Debug Volatilitas.

--plugins=PLUGIN
Tambahan Plugin direktori yang akan digunakan (dipisahkan dengan titik dua).

--info Cetak informasi tentang semua objek terdaftar.

--cache-directory=/root/.cache/volatilitas
Direktori tempat file cache disimpan.

--cache
Gunakan cache.

--tz=TZ
Atur zona waktu untuk menampilkan stempel waktu menggunakan pytz (jika diinstal) atau tzset

-f NAMA FILE, --namafile=FILENAME
Nama file yang akan digunakan saat membuka gambar.

--profil=WinXPSP2x86
Nama profil yang akan dimuat (gunakan --info untuk melihat daftar profil yang didukung).

-l LOKASI, --lokasi=LOKASI
Lokasi guci untuk memuat ruang alamat.

-w, --menulis
Aktifkan dukungan tulis.

--dtb=DTB
Alamat DTB.

--shift=GESER
Alamat pergeseran Mac KASLR.

--keluaran=teks
Keluaran dalam format ini.

--file-keluaran=OUTPUT_FILE
Tulis output dalam file ini.

-di, --bertele-tele
Informasi bertele-tele.

-g KDBG, --kdbg=KDBG
Tentukan alamat virtual KDBG tertentu. Untuk 64-bit Windows 8 dan di atasnya ini adalah
alamat KdCopyDataBlock.

--memaksa
Penggunaan paksa profil tersangka.

-k KPCR, --kpcr=KPCR
Tentukan alamat KPCR tertentu.

--cookie=KUKI
Tentukan alamat nt!ObHeaderCookie (hanya berlaku untuk Windows 10).

PLUGINS DAN PROFIL

yang didukung Plugin perintah dan profil dapat dilihat jika menggunakan perintah '$
keriangan --info'. Perhatikan bahwa plugin yang diizinkan Linux dan MAC OSX akan memiliki 'linux_'
dan awalan 'mac_'. Plugin tanpa awalan ini dirancang untuk MS Windows.

Profil adalah peta yang digunakan oleh Volatilitas untuk memahami sistem operasional. MS . yang diizinkan
Profil Windows disediakan oleh Volatilitas.

Anda harus membuat profil Anda sendiri untuk Linux dan MAC OSX. Untuk ini, pada sistem Debian, baca
file README.Debian yang disediakan oleh keriangan-paket alat

Pada MS Windows, untuk menentukan jenis OS, Anda dapat menggunakan:

$ volatilitas -f info gambar

or

$ volatilitas -f kdbgscan

LINGKUNGAN VARIABEL

Pada sistem GNU/Linux atau OS X, variabel-variabel ini dapat diatur:

· VOLATILITY_PROFILE - Menentukan profil yang akan digunakan sebagai default, membuat
tidak perlu '--Profil' Option.

· VOLATILITY_LOCATION - Menentukan jalur suatu gambar. Jadi, perintah Volatilitas
tidak akan memerlukan nama file melalui '-f' Option.

· VOLATILITY_KDBG - Menentukan alamat KDBG. Lihat PROSEDUR TAMBAHAN untuk lebih lanjut
rincian.

Lainnya Plugin flag dapat digunakan dengan cara ini, misalnya KPCR, DTB atau PLUGIN. Kapan
mengekspor variabel, cukup awali VOLATILITY_ sebelum nama bendera (mis
VOLATILITY_KPCR). Jika tidak, nama bendera tetap sama saat menambahkannya ke
file konfigurasi.

Jika Anda memiliki jalur dengan spasi atau lebih pada namanya, spasi harus diganti dengan %20
sebagai gantinya (mis. LOKASI=file:///tmp/my%20image.img).

Contoh:

$ ekspor VOLATILITY_PROFILE=Win7SP0x86
$ ekspor VOLATILITY_LOCATION=file:///tmp/myimage.img
$ekspor VOLATILITY_KDBG=0x82944c28

KONFIGURASI FILE

File konfigurasi biasanya 'volatilityrc' di direktori saat ini atau
'~/.volatilitasrc' di direktori home pengguna, atau di jalur yang ditentukan pengguna, menggunakan --konf-
fillet Option. Contoh isi file ditunjukkan di bawah ini:

[BAWAAN]
PROFIL=Win7SP0x86
LOKASI=file:///tmp/myimage.img
KDBG=0x82944c28

Lainnya Plugin flag dapat digunakan dengan cara ini, misalnya KPCR, DTB atau PLUGIN. Kapan
mengekspor variabel, cukup awali VOLATILITY_ sebelum nama bendera (mis
VOLATILITY_KPCR). Jika tidak, nama bendera tetap sama saat menambahkannya ke
file konfigurasi.

Jika Anda memiliki jalur dengan spasi atau lebih pada namanya, spasi harus diganti dengan %20
sebagai gantinya (mis. LOKASI=file:///tmp/my%20image.img).

EXTRA PROSEDUR

Mengatur zona waktu

Stempel waktu yang diekstraksi dari memori dapat dalam waktu lokal sistem, atau dalam Waktu Universal
Koordinat (UTC). Jika mereka dalam UTC, Volatilitas dapat diinstruksikan untuk menampilkannya dalam satu waktu
zona pilihan analis. Untuk memilih zona waktu, gunakan salah satu zona waktu standar
nama (seperti Amerika/Sao_Paulo, Eropa/London, AS/Timur atau sebagian besar zona waktu Olson) dengan
bendera --tz=TIMEZONE.

Volatilitas mencoba menggunakan pytz jika diinstal, jika tidak, ia menggunakan tzset.

Harap dicatat bahwa menentukan zona waktu tidak akan mempengaruhi bagaimana waktu lokal sistem ditampilkan. Jika
Anda mengidentifikasi waktu yang Anda tahu berbasis UTC, harap ajukan sebagai masalah di pelacak masalah.
Secara default stempel waktu _EPROCESS CreateTime dan ExitTime berada di UTC.

Menyetel DTB

DTB (Directory Table Base) adalah apa yang digunakan Volatilitas untuk menerjemahkan alamat virtual ke fisik
alamat. Secara default, kernel DTB digunakan (dari proses Idle/Sistem). Jika Anda ingin menggunakan
DTB proses yang berbeda saat mengakses data, berikan alamatnya ke --dtb=ADDRESS.

Menyetel alamat KDBG (ini hanya untuk Windows Option)

Volatilitas memindai struktur '_KDDEBUGGER_DATA64' menggunakan tanda tangan berkode keras "KDBG" dan
serangkaian pemeriksaan kewarasan. Tanda tangan ini tidak penting untuk sistem operasi berfungsi
dengan benar, sehingga malware dapat menimpanya dalam upaya membuang alat yang bergantung pada
tanda tangan. Selain itu, dalam beberapa kasus mungkin ada lebih dari satu '_KDDEBUGGER_DATA64' (untuk
contoh jika Anda menerapkan pembaruan OS utama dan tidak melakukan reboot), yang dapat menyebabkan kebingungan dan menyebabkan
proses yang salah dan daftar modul, di antara masalah lainnya. Jika Anda tahu alamatnya
tambahkan '_KDDEBUGGER_DATA64', Anda dapat menentukannya dengan --kdbg=ADDRESS dan ini menimpa otomatis
scan. Untuk informasi lebih lanjut, lihat plugin kdbgscan.

Menyetel alamat KPCR (ini hanya untuk Windows Option)

Ada satu KPCR (Kernel Processor Control Region) untuk setiap CPU pada suatu sistem. Beberapa Volatilitas
plugin menampilkan informasi per-prosesor. Jadi jika Anda ingin menampilkan data untuk CPU tertentu, untuk
contoh CPU 3 alih-alih CPU 1, Anda dapat meneruskan alamat KPCR CPU tersebut dengan --kpcr=ADDRESS.
Untuk menemukan KPCR untuk semua CPU, lihat plugin kpcrscan. Perhatikan juga bahwa mulai dari Volatilitas 2.2,
banyak plugin seperti idt dan gdt secara otomatis beralih melalui daftar KPCR.

Mengaktifkan dukungan tulis

Dukungan tulis dalam Volatilitas harus digunakan dengan hati-hati. Oleh karena itu, untuk benar-benar mengaktifkannya, Anda harus
tidak hanya mengetik --write pada baris perintah tetapi Anda harus mengetikkan 'kata sandi' untuk menjawab pertanyaan yang
Anda akan diminta dengan. Dalam kebanyakan kasus, Anda tidak akan ingin menggunakan dukungan tulis karena dapat menyebabkan
korupsi atau modifikasi data di dump memori Anda. Namun, ada kasus khusus yang membuat ini
fitur yang sangat menarik. Misalnya, Anda dapat membersihkan sistem langsung dari malware tertentu dengan
menulis ke RAM melalui firewire, atau Anda dapat membobol workstation yang terkunci dengan menambal byte di
winlogon DLL.

Menentukan tambahan Plugin direktori

Arsitektur plugin Volatility dapat memuat file plugin dari beberapa direktori sekaligus. Dalam
Kode sumber volatilitas, sebagian besar plugin terletak di volatilitas/plugin. Namun, ada yang lain
direktori (volatilitas/kontrib) yang disediakan untuk kontribusi dari pengembang pihak ketiga, atau
plugin yang didukung lemah yang tidak diaktifkan secara default. Untuk mengakses plugin ini, Anda cukup
ketik --plugins=contrib/plugins pada baris perintah. Ini juga memungkinkan Anda untuk membuat direktori terpisah
dari plugin Anda sendiri yang dapat Anda kelola tanpa harus menambah/menghapus/memodifikasi file di inti
Direktori volatilitas.

Catatan:

* Pada sistem Debian, direktori contrib/plugins ada di /usr/share/volatility/contrib/plugins.

* Subdirektori juga akan dilintasi selama ada file __init__.py (yang boleh kosong)
dalam diri mereka.

* Parameter ke --plugins juga bisa berupa file zip yang berisi plugin seperti
sebagai --plugins=myplugins.zip. Karena cara plugin dimuat, direktori plugin eksternal
atau file zip harus ditentukan sebelum argumen khusus plugin (termasuk nama
plugin). Contoh:

$ volatilitas --plugins=contrib/plugins -f XPSP3x86.vmem contoh

Memilih format keluaran

Secara default, plugin menggunakan penyaji teks ke output standar. Jika Anda ingin mengarahkan ulang ke file, Anda
tentu saja dapat menggunakan pengalihan konsol (yaitu > out.txt) atau Anda dapat menggunakan --output-file=out.txt.
Alasan Anda juga dapat memilih --output=FORMAT adalah untuk mengizinkan plugin juga merender keluaran sebagai HTML,
JSON, SQL, atau apa pun yang Anda pilih. Namun, tidak ada plugin dengan format output alternatif tersebut
pra-konfigurasi untuk digunakan, jadi Anda harus menambahkan fungsi bernama render_html, render_json, render_sql,
masing-masing ke setiap plugin sebelum menggunakan --output=HTML.

Opsi khusus plugin

Banyak plugin menerima argumen mereka sendiri, yang independen dari opsi global. Untuk melihat
daftar opsi yang tersedia, ketik nama plugin dan -h/--help pada baris perintah.

$ volatilitas dlllist -h

Mode debug

Jika sesuatu tidak terjadi dalam Volatilitas seperti yang diharapkan, coba jalankan perintah dengan -d/--debug.
Ini akan memungkinkan pencetakan pesan debug ke kesalahan standar. Untuk lebih banyak tingkat debug, seperti dalam menggunakan
pdb debugger), tambahkan -d -d -d ke perintah.

Menggunakan Volatilitas sebagai perpustakaan

Meskipun memungkinkan untuk menggunakan Volatilitas sebagai perpustakaan, (ada rencana untuk mendukungnya lebih baik di .)
masa depan). Saat ini, untuk mengimpor Volatilitas dari skrip python, kode contoh berikut dapat digunakan:

$piton
>>> impor volatilitas.conf sebagai conf
>>> impor volatilitas.registry sebagai registri
>>> registry.PluginImporter()

>>> config = conf.ConfObject()
>>> impor volatilitas.commands sebagai perintah
>>> impor volatilitas.addrspace sebagai addrspace
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> impor volatilitas.plugins.taskmods sebagai taskmods
>>> p = taskmods.PSList(config)
>>> untuk proses di p.calculate():
... proses cetak

CONTOH

Untuk melihat semua plugin, profil, pemeriksaan pemindai, dan ruang alamat yang tersedia:

$ volatilitas --info

Untuk membuat daftar semua proses aktif yang ditemukan di MS Windows 8 SP0 gambar:

$ volatilitas -f win8.raw --profile=Win8SP0x86 pslist

Untuk membuat daftar semua proses aktif yang ditemukan di MS Windows 8 SP0 gambar, menggunakan zona waktu:

$ volatilitas -f win8.raw --profile=Win8SP0x86 pslist --tz=Amerika/Sao_Paulo

Untuk menampilkan kernel bnuffer dari Linux 3.2.63 gambar:

$ volatilitas -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

CATATAN

Halaman manual ini didasarkan pada beberapa tes dan beberapa dokumen resmi tentang Volatilitas. Untuk
informasi dan tutorial lainnya, lihat:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/keriangan/wiki

Gunakan volatilitas online menggunakan layanan onworks.net