А АWednesday 3 April 2019

Фреймворки анализа памяти Volatility и Rekall.

Всем привет.

Фреймворки существуют не только для web-разработки, но и в цифровой криминалистике. Самые известные среди них это Volatility и Rekall.

*** Volatility ***

Для работа с дампом оперативной памяти существует отличный фреймворк написанный на языке python - Volatility. Он обладает удобными консольным интерфейсом, который также обладает возможностью напрямую получить доступ к питон шеллу для работы внутри образа.

Основной инструмент использует большое количество плагинов позволяющий выполнить разнообразный анализ изображений памяти. В результате Volatility может работать на любой операционной системе, которая поддерживает Python. Кроме того, волатильность может быть использована против файлы образов памяти из большинства распространенных операционных систем, включая Windows, macOS и Linux.

Пример использования.

sudo apt-get install volatility 

volatility -f image.mem imageinfo - первым делом можно посмотреть информацию о дампе

volatility -f image.mem pslist - возможность увидеть процессы

volatility -f image.mem pstree - дерево процессов

volatility -f image.mem screenshot --dump-dir ~/ -получить скриншот

volatility -f image.mem volshell - получаем интерактивный шелл python

volatility -f image.mem cmdscan - история команд cmd.exe

volatility -f image.mem clipboard - извлечь контент буфера обмена

volatility -f image.mem connscan - увидеть открытые соединения



*** Rekall *** 

Другим фреймворком похожим на Volatility, является Rekall. Rekall был разработан Google (GRR) и претендует на звание наиболее полной структуры анализа памяти. Программное обеспечение доступно для Платформы Linux, macOS и Windows. Инструкция как скачать и настроить Rekall можно найти по адресу https://github.com/google/rekall/releases. Главное преимущество что у Rekall есть волатильность, т.е. то, что Google выпустила инструмент сбора памяти Pmem. Этот инструмент предназначен для работы с платформой Rekall, что дает единую точку для набора инструментов сбора и анализа данных.

Пример использования.

Скачиваем, выбираем вашу архитектуру rekall/tools/windows/winpmem/binaries

Например - rekall/tools/winpmem/binaries/amd64/winpmem.sys

Здесь находим консольную утилиту - rekall/tools/winpmem/executables/Release/

И подгружаем ваш драйвер winpmem.exe -l rekall/tools/winpmem/binaries/amd64/winpmem.sys

Создастся специальный девайс - \\.\pmem

Теперь дампим память winpmem.exe image.raw

И выключаем девайс - winpmem.exe -u

Linux Kernels 2.6.24 to 3.10.
cd rekall/tools/linux/
make
sudo insmod pmem.ko

Будет создан девайс /dev/pmem
sudo dd if=/dev/pmem of=image.raw

Для дампа жесткого диска будет достаточно указать 
sudo dd if=/dev/ваш_раздел of=obraz.raw
Пока все.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное