Фреймворки существуют не только для web-разработки, но и в цифровой криминалистике. Самые известные среди них это Volatility и Rekall.
*** Volatility ***
Для работа с дампом оперативной памяти существует отличный фреймворк написанный на языке python - Volatility. Он обладает удобными консольным интерфейсом, который также обладает возможностью напрямую получить доступ к питон шеллу для работы внутри образа.
Основной инструмент использует большое количество плагинов позволяющий выполнить разнообразный анализ изображений памяти. В результате Volatility может работать на любой операционной системе, которая поддерживает Python. Кроме того, волатильность может быть использована против файлы образов памяти из большинства распространенных операционных систем, включая Windows, macOS и Linux.
Пример использования.
sudo apt-get install volatility
volatility -f image.mem imageinfo - первым делом можно посмотреть информацию о дампе
volatility -f image.mem pslist - возможность увидеть процессы
volatility -f image.mem pstree - дерево процессов
volatility -f image.mem screenshot --dump-dir ~/ -получить скриншот
volatility -f image.mem volshell - получаем интерактивный шелл python
volatility -f image.mem cmdscan - история команд cmd.exe
volatility -f image.mem clipboard - извлечь контент буфера обмена
volatility -f image.mem connscan - увидеть открытые соединения
*** Rekall ***
Другим фреймворком похожим на Volatility, является Rekall. Rekall был разработан Google (GRR) и претендует на звание наиболее полной структуры анализа памяти. Программное обеспечение доступно для Платформы Linux, macOS и Windows. Инструкция как скачать и настроить Rekall можно найти по адресу https://github.com/google/rekall/releases. Главное преимущество что у Rekall есть волатильность, т.е. то, что Google выпустила инструмент сбора памяти Pmem. Этот инструмент предназначен для работы с платформой Rekall, что дает единую точку для набора инструментов сбора и анализа данных.
Пример использования.
Скачиваем, выбираем вашу архитектуру rekall/tools/windows/winpmem/binaries
Например - rekall/tools/winpmem/binaries/amd64/winpmem.sys
Здесь находим консольную утилиту - rekall/tools/winpmem/executables/Release/
И подгружаем ваш драйвер winpmem.exe -l rekall/tools/winpmem/binaries/amd64/winpmem.sys
Создастся специальный девайс - \\.\pmem
Теперь дампим память winpmem.exe image.raw
И выключаем девайс - winpmem.exe -u
Linux Kernels 2.6.24 to 3.10.
cd rekall/tools/linux/
make
sudo insmod pmem.ko
Будет создан девайс /dev/pmem
sudo dd if=/dev/pmem of=image.raw
Для дампа жесткого диска будет достаточно указать
sudo dd if=/dev/ваш_раздел of=obraz.raw
Подробнее смотрите у Michael Cohen:
http://rekall-forensic.blogspot.com/2016/10/the-rekall-agent-whitepaper.html
http://www.rekall-forensic.com/
Пока все.
No comments:
Post a Comment
А что вы думаете по этому поводу?