Volatility Memory Forensics Framework ialah pakej utiliti yang digunakan untuk menganalisa hasil memory dump (dalam bentuk fail). Ini termasuk menganalisa fail proses, Windows Registry, sistem dan fail-fail pengguna.
Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).
Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:
Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem
Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem
Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem
Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem
Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/
Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.
Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.
0 comments:
Post a Comment