תנודתיות - מקוון בענן

תָכְנִית:

שֵׁם

נדיפות - מסגרת פורנזית זיכרון מתקדמת

תַקצִיר

נדיפות [אוֹפְּצִיָה]
נדיפות -f [תמונה] --פּרוֹפִיל=[פרופיל] [חיבור]

תיאור

מסגרת התנודתיות היא אוסף פתוח לחלוטין של כלים לחילוץ של
חפצים דיגיטליים מדגימות זיכרון נדיף (RAM). זה שימושי בניתוח פורנזי.
טכניקות החילוץ מבוצעות באופן בלתי תלוי לחלוטין בהוויה של המערכת
נחקר אך מציע נראות חסרת תקדים למצב זמן הריצה של המערכת.

תנודתיות תומכת במספר גרסאות של MS Windows, Linux ו-MAC OSX:

MS Windows:

· 32 סיביות של Windows XP Service Pack 2 ו-3

· 32 סיביות של Windows 2003 Server Service Pack 0, 1, 2

· 32 סיביות של Windows Vista Service Pack 0, 1, 2

· 32 סיביות Windows 2008 Server Service Pack 1, 2 (אין SP0)

· 32 סיביות של Windows 7 Service Pack 0, 1

· עדכון 32 של Windows 8, 8.1 ו-8.1 1 סיביות

· Windows 32 10 סיביות (תמיכה ראשונית)

· 64 סיביות Windows XP Service Pack 1 ו-2 (אין SP0)

· 64 סיביות Windows 2003 Server Service Pack 1 ו-2 (אין SP0)

· 64 סיביות של Windows Vista Service Pack 0, 1, 2

· 64 סיביות Windows 2008 Server Service Pack 1 ו-2 (אין SP0)

· 64 סיביות של Windows 2008 R2 Server Service Pack 0 ו-1

· 64 סיביות של Windows 7 Service Pack 0 ו-1

· עדכון 64 של Windows 8, 8.1 ו-8.1 1 סיביות

· 64 סיביות Windows Server 2012 ו-2012 R2

· Windows 64 10 סיביות (תמיכה ראשונית)

Linux you

· ליבות לינוקס של 32 סיביות 2.6.11 עד 4.2.3

· ליבות לינוקס של 64 סיביות 2.6.11 עד 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva וכו'

MacOSX:

· 32-bit 10.5.x Leopard (ה-64-bit 10.5 היחיד הוא Server, שאינו נתמך)

· 32 סיביות 10.6.x Snow Leopard

· 64 סיביות 10.6.x Snow Leopard

· 32 סיביות 10.7.x Lion

· 64 סיביות 10.7.x Lion

· אריה הרים 64 סיביות 10.8.x (אין גרסת 32 סיביות)

· 64 סיביות 10.9.x Mavericks (אין גרסת 32 סיביות)

· 64 סיביות 10.10.x Yosemite (אין גרסת 32 סיביות)

· 64 סיביות 10.11.x El Capitan (אין גרסת 32 סיביות)

פורמטי הזיכרון הנתמכים הם:

· מדגם ליניארי גולמי (dd)

· קובץ שינה

· קובץ dump של התרסקות

· מזבלה ליבה של VirtualBox ELF64

· קבצי מצב ותמונת מצב שמורים ב-VMware

· פורמט EWF (E01)

· פורמט LiME (Linux Memory Extractor).

· פורמט קובץ Mach-o

· השלכות של מכונות וירטואליות QEMU

· Firewire

· HPAK (FDPro)

מרחבי הכתובות הנתמכים (סוגי RAM) הם:

· AMD64PagedMemory - מרחב כתובות סטנדרטי של AMD 64 סיביות

· ArmAddressSpace - שטח כתובות עבור מעבדי ARM

· FileAddressSpace - זהו קובץ AS ישיר

· HPAKAddressSpace - AS זה תומך בפורמט HPAK

· IA32PagedMemoryPae - מחלקה זו מיישמת את מרחב כתובת ההחלפה IA-32 PAE.
זה אחראי

· IA32PagedMemory - מרחב כתובות איתור סטנדרטי IA-32

· LimeAddressSpace - שטח כתובות עבור Lime

· MachOAddressSpace - שטח כתובת עבור קבצי mach-o לתמיכה בזיכרון atc-ny
קורא

· OSXPmemELF - AS זה תומך בפורמט coredump של VirtualBox ELF64

· QemuCoreDumpElf - AS זה תומך בפורמט Qemu ELF32 ו-ELF64 coredump

· VirtualBoxCoreDumpElf64 - AS זה תומך בפורמט coredump של VirtualBox ELF64

· VMWareAddressSpace - AS זה תומך בתמונת מצב של VMware (VMSS) ובמצב שמור
קבצי (VMSS).

· VMWareMetaAddressSpace - AS זה תומך בפורמט VMEM עם VMSN/VMSS
מטה

· WindowsCrashDumpSpace32 - AS זה תומך בפורמט Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - AS זה תומך ב-Windows BitMap Crash Dump
פוּרמָט

· WindowsCrashDumpSpace64 - AS זה תומך בפורמט Windows Crash Dump

· WindowsHiberFileSpace32 - זהו מרחב כתובות שינה עבור חלונות
קבצי שינה

יש תמונות זיכרון לדוגמה למבחנים ב
https://github.com/volatilityfoundation/נדיפות/wiki/Memory-Samples.

אפשרויות

-ח, - עזרה
רשום את כל האפשרויות הזמינות ואת ערכי ברירת המחדל שלהן. ניתן להגדיר ערכי ברירת מחדל
קובץ התצורה (/etc/volatilityrc).

--conf-file=/root/.volatilityrc
קובץ תצורה מבוסס משתמש.

-ד, --לנפות
איתור באגים תנודתיות.

--plugins=PLUGINS
נוסף חיבור ספריות לשימוש (מופרדות בנקודתיים).

- מידע הדפס מידע על כל האובייקטים הרשומים.

--cache-directory=/root/.cache/volatility
ספרייה שבה מאוחסנים קבצי מטמון.

--מטמון
השתמש במטמון.

--tz=TZ
הגדר את אזור הזמן להצגת חותמות זמן באמצעות pytz (אם מותקן) או tzset

-f שם קובץ, --filename=FILENAME
שם קובץ לשימוש בעת פתיחת קובץ תמונה.

--profile=WinXPSP2x86
שם הפרופיל לטעינה (השתמש - מידע כדי לראות רשימה של פרופילים נתמכים).

-l מקום, --location=LOCATION
מיקום URN שממנו ניתן לטעון מרחב כתובות.

-וו, --לִכתוֹב
אפשר תמיכה בכתיבה.

--dtb=DTB
כתובת DTB.

--shift=SHIFT
כתובת משמרת מק KASLR.

--output=טקסט
פלט בפורמט זה.

--output-file=OUTPUT_FILE
כתוב פלט בקובץ זה.

-ב, --מִלוּלִי
מידע מפורט.

-g KDBG, --kdbg=KDBG
ציין כתובת וירטואלית ספציפית של KDBG. עבור 64 סיביות של Windows 8 ומעלה זה ה
כתובת של KdCopyDataBlock.

--כּוֹחַ
שימוש בכוח בפרופיל החשוד.

-k KPCR, --kpcr=KPCR
ציין כתובת KPCR ספציפית.

--עוגייה=עוגייה
ציין את הכתובת של nt!ObHeaderCookie (תקף עבור Windows 10 בלבד).

PLUGINS ו פרופילים

הנתמך חיבור ניתן לראות פקודות ופרופילים אם משתמשים בפקודה '$
נדיפות - מידע'. שימו לב שתוספי ה-Linux ו-MAC OSX המותרים יהיו בעלי ה-'linux_'
וקידומות 'mac_'. תוספים ללא קידומות אלה תוכננו עבור MS Windows.

פרופילים הם מפות המשמשות את Volatility להבנת המערכות התפעוליות. MS המותרת
פרופילי Windows מסופקים על ידי התנודתיות.

עליך ליצור פרופילים משלך עבור לינוקס ו-MAC OSX. בשביל זה, במערכות דביאן, קרא
קובץ README.Debian שסופק על ידי נדיפות-חבילת כלים.

ב-MS Windows, כדי לקבוע את סוג מערכת ההפעלה, אתה יכול להשתמש ב:

$ תנודתיות -f מידע על תמונה

or

$ תנודתיות -f kdbgscan

הסביבה וריאציות

במערכת GNU/Linux או OS X, ניתן להגדיר את המשתנים הבאים:

· VOLATILITY_PROFILE - מציין פרופיל שישמש כברירת מחדל, ביצוע
מיותר א'--פּרוֹפִיל' אוֹפְּצִיָה.

· VOLATILITY_LOCATION - מציין את הנתיב של תמונה. אז, פקודת התנודתיות
לא יצטרך שם קובץ דרך '-f' אוֹפְּצִיָה.

· VOLATILITY_KDBG - מציין כתובת KDBG. ראה נהלים נוספים לעוד
פרטים.

אחר חיבור ניתן להשתמש בדגלים בדרך זו, למשל KPCR, DTB או PLUGINS. מתי
לייצא משתנים, פשוט תחילו VOLATILITY_ לפני שם הדגל (למשל
VOLATILITY_KPCR). אחרת, שם הדגל נשאר זהה בעת הוספתו ל-
קובץ תצורה.

אם יש לך נתיב עם רווח או יותר בשם, יש להחליף את הרווחים ב-%20
במקום זאת (למשל LOCATION=file:///tmp/my%20image.img).

דוגמא:

$ export VOLATILITY_PROFILE=Win7SP0x86
$ export VOLATILITY_LOCATION=file:///tmp/myimage.img
$ יצוא VOLATILITY_KDBG=0x82944c28

תְצוּרָה קבצים

קבצי תצורה הם בדרך כלל 'volatilityrc' בספרייה הנוכחית או
'~/.volatiltyrc' בספריית הבית של המשתמש, או בנתיב שצוין על ידי המשתמש, באמצעות ה- --conf-
פילה אוֹפְּצִיָה. דוגמה של תוכן הקובץ מוצגת להלן:

[בְּרִירַת מֶחדָל]
PROFILE=Win7SP0x86
LOCATION=file:///tmp/myimage.img
KDBG=0x82944c28

אחר חיבור ניתן להשתמש בדגלים בדרך זו, למשל KPCR, DTB או PLUGINS. מתי
לייצא משתנים, פשוט תחילו VOLATILITY_ לפני שם הדגל (למשל
VOLATILITY_KPCR). אחרת, שם הדגל נשאר זהה בעת הוספתו ל-
קובץ תצורה.

אם יש לך נתיב עם רווח או יותר בשם, יש להחליף את הרווחים ב-%20
במקום זאת (למשל LOCATION=file:///tmp/my%20image.img).

תוֹסֶפֶת נהלים

הגדרת אזור זמן

חותמות זמן שחולצו מהזיכרון יכולות להיות בזמן מערכת מקומית או בזמן אוניברסלי
קואורדינטות (UTC). אם הם ב-UTC, ניתן להורות לתנודתיות להציג אותם בזמן
אזור לבחירתו של האנליסט. כדי לבחור אזור זמן, השתמש באחד מאזור הזמן הסטנדרטי
שמות (כגון אמריקה/סאו_פאולו, אירופה/לונדון, ארה"ב/מזרח או רוב אזורי הזמן של אולסון) עם
הדגל --tz=TIMEZONE.

תנודתיות מנסה להשתמש ב-pytz אם היא מותקנת, אחרת היא משתמשת ב-tzset.

לידיעתך, ציון אזור זמן לא ישפיע על אופן הצגת השעות המקומיות של המערכת. אם
אתה מזהה שעה שאתה יודע שהיא מבוססת UTC, נא להגיש אותה כבעיה במעקב הבעיות.
כברירת מחדל, חותמות הזמן _EPROCESS CreateTime ו-ExitTime הן ב-UTC.

הגדרת ה-DTB

ה-DTB (בסיס טבלת ספריות) הוא מה ש-Vatility משתמשת בו כדי לתרגם כתובות וירטואליות לפסי
כתובות. כברירת מחדל, נעשה שימוש ב-DTB של ליבה (מתהליך Idle/System). אם אתה רוצה להשתמש ב- a
DTB של תהליך אחר בעת גישה לנתונים, ספק את הכתובת אל --dtb=ADDRESS.

הגדרת כתובת ה-KDBG (זוהי מערכת ל-Windows בלבד אוֹפְּצִיָה)

תנודתיות סורקת את המבנה '_KDDEBUGGER_DATA64' באמצעות חתימות מקודדות קשיחות "KDBG" ו
סדרה של בדיקות שפיות. חתימות אלו אינן קריטיות לתפקוד מערכת ההפעלה
כראוי, ולכן תוכנות זדוניות יכולות לדרוס אותן בניסיון לזרוק כלים שאכן מסתמכים על
חֲתִימָה. בנוסף, במקרים מסוימים עשויים להיות יותר מ-'_KDDEBUGGER_DATA64' אחד (עבור
לדוגמה אם אתה מחיל עדכון מערכת הפעלה מרכזי ולא מאתחל מחדש), מה שעלול לגרום לבלבול ולהוביל ל
רשימות תהליכים ומודולים שגויות, בין שאר הבעיות. אם אתה יודע את הכתובת
הוסף '_KDDEBUGGER_DATA64', אתה יכול לציין זאת באמצעות --kdbg=ADDRESS וזה יחליף את האוטומטי
סריקות. למידע נוסף, עיין בתוסף kdbgscan.

הגדרת כתובת ה-KPCR (זוהי מערכת ל-Windows בלבד אוֹפְּצִיָה)

יש KPCR אחד (אזור בקרת מעבד ליבה) עבור כל מעבד במערכת. תנודתיות מסוימת
תוספים מציגים מידע לכל מעבד. לפיכך, אם אתה רוצה להציג נתונים עבור מעבד ספציפי, עבור
לדוגמה CPU 3 במקום CPU 1, אתה יכול להעביר את הכתובת של ה-KPCR של אותו CPU עם --kpcr=ADDRESS.
כדי לאתר את ה-KPCRs עבור כל המעבדים, עיין בתוסף kpcrscan. שים לב גם שהחל מ-Vatility 2.2,
רבים מהפלאגינים כגון idt ו-gdt חוזרים באופן אוטומטי דרך רשימת ה-KPCRs.

הפעלת תמיכת כתיבה

יש להשתמש בתמיכת כתיבה ב-Vatility בזהירות. לכן, כדי לאפשר זאת בפועל, אתה חייב
לא רק להקליד --write בשורת הפקודה אלא עליך להקליד 'סיסמה' בתגובה לשאלה
תתבקש עם. ברוב המקרים לא תרצו להשתמש בתמיכה בכתיבה מכיוון שהיא יכולה להוביל לכך
השחתה או שינוי של נתונים ב-dump הזיכרון שלך. עם זאת, קיימים מקרים מיוחדים שעושים זאת
תכונה ממש מעניינת. לדוגמה, אתה יכול לנקות מערכת חיה מתוכנות זדוניות מסוימות על ידי
כתיבה ל-RAM דרך Firewire, או שאתה יכול לפרוץ לתחנת עבודה נעולה על ידי תיקון בתים ב-
קובצי DLL של winlogon.

ציון נוסף חיבור ספריות

ארכיטקטורת הפלאגין של Volatility יכולה לטעון קבצי פלאגין ממספר ספריות בו-זמנית. בתוך ה
קוד מקור לתנודתיות, רוב התוספים ממוקמים בתנודתיות/תוספים. עם זאת, יש אחר
ספרייה (תנודתיות/תרומה) ​​ששמורה לתרומות ממפתחי צד שלישי, או
תוספים בעלי תמיכה חלשה שפשוט אינם מופעלים כברירת מחדל. כדי לגשת לתוספים האלה אתה פשוט
הקלד --plugins=contrib/plugins בשורת הפקודה. זה גם מאפשר לך ליצור ספרייה נפרדת
של תוספים משלך שאתה יכול לנהל מבלי להוסיף/להסיר/לשנות קבצים בליבה
ספריות תנודתיות.

הערות:

* במערכות דביאן, ספריית contrib/plugins נמצאת בכתובת /usr/share/volatility/contrib/plugins.

* גם ספריות משנה יעברו כל עוד יש קובץ __init__.py (שיכול להיות ריק)
איתם.

* הפרמטר ל --plugins יכול להיות גם קובץ zip המכיל את התוספים כגון
בתור --plugins=myplugins.zip. עקב אופן טעינת התוספים, ספריית התוספים החיצוניים
או קובץ zip יש לציין לפני כל ארגומנטים ספציפיים לפלאגין (כולל שם ה-
חיבור). דוגמא:

$ volatility --plugins=contrib/plugins -f XPSP3x86.vmem דוגמה

בחירת פורמט פלט

כברירת מחדל, תוספים משתמשים במעבדי טקסט לפלט סטנדרטי. אם אתה רוצה להפנות מחדש לקובץ, אתה
אתה יכול כמובן להשתמש בהפניה מחדש של הקונסולה (כלומר > out.txt) או שאתה יכול להשתמש ב--output-file=out.txt.
הסיבה שאתה יכול גם לבחור --output=FORMAT היא לאפשר לפלאגינים לעבד פלט גם כ-HTML,
JSON, SQL או כל מה שתבחר. עם זאת, אין תוספים עם פורמטי הפלט החלופיים הללו
מוגדר מראש לשימוש, אז תצטרך להוסיף פונקציה בשם render_html, render_json, render_sql,
בהתאמה לכל תוסף לפני השימוש ב--output=HTML.

אפשרויות ספציפיות לפלאגין

תוספים רבים מקבלים טיעונים משלהם, שאינם תלויים באפשרויות הגלובליות. לראות את ה
רשימת האפשרויות הזמינות, הקלד גם את שם הפלאגין וגם -h/--help בשורת הפקודה.

$ תנודתיות dlllist -h

מצב Debug

אם משהו לא קורה ב-Volatility בצורה הצפויה, נסה להפעיל את הפקודה עם -d/--debug.
זה יאפשר הדפסת הודעות איתור באגים לפי שגיאת תקן. לרמות ניפוי באגים נוספות, כמו בשימוש
מנפה pdb), הוסף -d -d -d לפקודה.

שימוש בתנודתיות כספרייה

למרות שניתן להשתמש ב-Vatility כספרייה, (יש תוכניות לתמוך בה טוב יותר ב-
עתיד). נכון לעכשיו, כדי לייבא Volatility מסקריפט python, ניתן להשתמש בקוד לדוגמה הבא:

$ פייתון
>>> ייבוא ​​volatility.conf בתור conf
>>> ייבוא ​​volatility.registry כרישום
>>> registry.PluginImporter()

>>> config = conf.ConfObject()
>>> ייבא פקודות volatility.com כפקודות
>>> ייבא volatility.addrspace כ-adrspace
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> יבא את volatility.plugins.taskmods בתור taskmods
>>> p = taskmods.PSList(config)
>>> עבור תהליך ב-p.calculate():
... תהליך הדפסה

דוגמאות

כדי לראות את כל הפלאגינים הזמינים, הפרופילים, בדיקות הסורק ומרחבי הכתובות:

$ תנודתיות --מידע

לרשימת כל התהליכים הפעילים שנמצאו ב-MS Windows 8 SP0 תמונה:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist

לרשימת כל התהליכים הפעילים שנמצאו ב-MS Windows 8 SP0 תמונה, באמצעות אזור זמן:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist --tz=אמריקה/סאו_פאולו

כדי להציג את ה-Bnuffer הליבה מ-Linux 3.2.63 תמונה:

$ volatility -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

אורים

דף ניהול זה התבסס על כמה בדיקות ומספר מסמכים רשמיים על תנודתיות. ל
מידע נוסף ומדריכים, ראה:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfundation/נדיפות/wiki

השתמש בתנודתיות מקוונת באמצעות שירותי onworks.net