Volatility 2.6 détails et explications
En 2007, la première version de The Volatility Framework a été publiée publiquement chez Black Hat DC. Le logiciel était basé sur des années de recherches universitaires publiées sur l'analyse avancée de la mémoire et la médecine légale. Jusque-là, les recherches numériques avaient surtout porté sur la recherche de contrebande dans les images du disque dur. La volatilité a amené les gens à pouvoir analyser l'état d'exécution d'un système en utilisant les données trouvées dans le stockage volatil (RAM). Il a également fourni une plate-forme multiplateforme, modulaire et extensible pour encourager le travail dans ce domaine de recherche passionnant. Un autre objectif majeur du projet était d'encourager la collaboration, l'innovation et l'accessibilité aux connaissances qui avaient été communes dans les communautés de logiciels offensifs.
Depuis lors, l'analyse de la mémoire est devenue l'un des sujets les plus importants pour l'avenir des recherches numériques et Volatility est devenue la plate-forme judiciaire de mémoire la plus utilisée au monde. Le projet est soutenu par l'une des plus grandes et les plus actives communautés de l'industrie de la médecine légale. La volatilité fournit également une plate-forme unique qui permet à la recherche de pointe d'être immédiatement transférée dans les mains des enquêteurs numériques. En conséquence, les recherches construites en haut de la volatilité sont apparues lors des premières conférences académiques et la volatilité a été utilisée sur certaines des recherches les plus critiques de la dernière décennie. Il est devenu un outil d'investigation numérique indispensable dont dépendent les enquêteurs d'application de la loi, militaires, universitaires et commerciaux à travers le monde. Le développement de la volatilité est maintenant soutenu par The Volatility Foundation, une organisation indépendante à but non lucratif 501 (c) (3). La fondation a été créée pour promouvoir l'utilisation de la volatilité et de l'analyse de la mémoire dans la communauté médico-légale, pour défendre la propriété intellectuelle du projet (marques, licences, etc.) et la longévité et, enfin, pour aider à promouvoir la recherche innovante en analyse de la mémoire. Dans cette optique, la fondation a également été formée pour protéger les droits des développeurs qui sacrifient leur temps et leurs ressources pour rendre la plate-forme judiciaire de mémoire la plus avancée au monde gratuite et open source.
Démarrage rapide Choisissez une version - la plus récente est [Volatility 2.6] (http://www.volatilityfoundation.org/26), publiée en décembre 2016. Des versions plus anciennes sont également disponibles sur la page des versions ou les pages de publication respectives. Si vous voulez la construction de développement de pointe, utilisez un client git et cloquez le maître. Installation du code - La volatilité est emballée dans plusieurs formats, y compris le code source dans les archives zip ou tar (toutes les plates-formes), un exécutable Pyinstaller (Windows uniquement) et un exécutable autonome (Windows uniquement). Pour obtenir de l'aide pour déterminer quel format est le mieux adapté à vos besoins et pour les instructions d'installation ou de mise à niveau, voir Installation. Configuration spécifique de l'OS cible: le support Linux, Mac et Android peut nécessiter l'accès aux symboles et la construction de vos propres profils avant d'utiliser la volatilité. Si vous envisagez d'analyser ces systèmes d'exploitation, consultez Linux, Mac ou Android. Lire l'utilisation et les plugins - les paramètres, les options et les plugins de ligne de commande peuvent différer des versions. Pour obtenir les informations les plus récentes, voir Utilisation de volatilité, Référence de commande et notre feuille de tricheur de volatilité.
Pourquoi Volatility, Un cadre unique et cohérent analyse les décharges de RAM des systèmes Windows, Linux, Mac et Android de 32 et 64 bits. La conception modulaire de la volatilité lui permet de supporter facilement les nouveaux systèmes d'exploitation et les architectures lors de leur sortie. Tous vos appareils sont des cibles ... ne limitent donc pas vos capacités judiciaires aux ordinateurs Windows. C'est un Open Source GPLv2, ce qui signifie que vous pouvez le lire, en tirer des leçons et l'étendre. Pourquoi utiliser un outil qui produit des résultats sans vous donner aucune indication sur laquelle les valeurs sont issues ou comment elles ont été interprétées? Découvrez comment vos outils fonctionnent, comprenez pourquoi et comment les modifier et les améliorer - aidez-vous à devenir un analyste plus intelligent. Vous pouvez également résoudre immédiatement tout problème que vous découvrez, au lieu d'avoir à attendre des semaines ou des mois pour que les vendeurs puissent communiquer, reproduire et publier des correctifs. Il est écrit en Python, un langage forensique et d'ingénierie inverse établi avec de nombreuses bibliothèques qui peuvent facilement s'intégrer à la volatilité. La plupart des analystes connaissent déjà Python et ne veulent pas apprendre de nouvelles langues. Par exemple, la syntaxe de script de Windbg qui est souvent considérée comme cryptique et plusieurs fois les capacités ne sont pas là. D'autres cadres d'analyse de la mémoire exigent que vous utilisiez Visual Studio pour compiler les DLL C # et que le reste n'expose pas une API de programmation. Fonctionne sur des systèmes d'analyse Windows, Linux ou Mac (partout où Python s'exécute) - une pause rafraîchissante à partir d'autres outils d'analyse de mémoire qui ne s'exécutent que sur Windows et nécessitent des installations .NET et des privilèges d'administration uniquement pour ouvrir. Si vous êtes déjà habitué à effectuer des analyses judiciaires sur un système d'exploitation hôte particulier, tous les moyens, continuez à l'utiliser - et prenez votre volatilité avec vous. L'API extensible et scriptable vous donne le pouvoir d'aller au-delà et de continuer à innover. Par exemple, vous pouvez utiliser la volatilité pour créer une interface Web personnalisée ou une interface graphique, diriger votre sandbox de logiciels malveillants, effectuer une introspection de la machine virtuelle ou simplement explorer la mémoire du noyau de manière automatisée. Les analystes peuvent ajouter de nouveaux espaces d'adresses, des plugins, des structures de données et des superpositions afin de bien soumettre le cadre à leurs besoins. Vous pouvez explorer la documentation Doxygen pour la volatilité pour avoir une idée de ses éléments internes.
Ensembles de fonctionnalités inégalés basés sur l'ingénierie inverse et la recherche spécialisée. La volatilité fournit des fonctionnalités que le débogueur de noyau de Microsoft ne permet pas, telles que l'historique des commandes de sculpture, les buffers d'entrée / sortie de la console, les objets UTILISATEURS (mémoire GUI) et les structures de données liées au réseau. Tout simplement parce qu'il n'est pas documenté ne veut pas dire que vous ne pouvez pas l'analyser! Une couverture complète des formats de fichiers - la volatilité peut analyser les décharges brutes, les décharges accidentelles, les fichiers d'hibernation, VMware .vmem, les états sauvegardés VMware et les fichiers suspendus (.vmss / .vmsn), les décharges de base VirtualBox, LiME (Linux Memory Extractor), témoin expert ( EWF), et la mémoire physique directe sur Firewire. Vous pouvez même convertir entre ces formats. Dans la chaleur de votre moment de réponse aux incidents, ne vous attrapez pas comme un imbécile lorsque quelqu'un vous donne un format que vos autres outils ne peuvent pas analyser. Des algorithmes rapides et efficaces vous permettent d'analyser les décharges de RAM à partir de grands systèmes sans frais généraux ou consommation de mémoire inutiles. Par exemple, la volatilité est capable de répertorier les modules kernel à partir d'un système de 80 Go en quelques secondes. Il y a toujours de la place pour l'amélioration, et le timing diffère par commande, mais d'autres cadres d'analyse de mémoire peuvent prendre plusieurs heures pour faire la même chose sur des décharges de mémoire beaucoup plus petites. Une communauté sérieuse et puissante de praticiens et de chercheurs qui travaillent dans les domaines de la médecine légale, de l'IR et de l'émission de logiciels malveillants. Il rassemble des contributeurs de sociétés commerciales, d'organismes d'application de la loi et d'établissements universitaires à travers le monde. Ne prenez pas seulement notre mot pour le faire - consultez le projet de documentation sur la volatilité - une collection de plus de 200 docs de plus de 60 auteurs différents. La volatilité est également mise en place par de nombreuses grandes organisations telles que Google, National DoD Laboratories, DC3 et de nombreux antivirus et magasins de sécurité. Forensics / IR / malware focus - La volatilité a été conçue par les experts en médecine légale, en réponse aux incidents et en logiciels malveillants pour se concentrer sur les types de tâches que ces analystes se forment généralement. En conséquence, il existe des choses qui sont souvent très importantes pour les analystes de médecine légale qui ne sont pas aussi importants pour une personne qui dégage un pilote de noyau (stockage non attribué, artefacts indirects, etc.).
https://github.com/volatilityfoundation/volatility