Asas Memori Forensik Menggunakan Volatility
Volatility Memory Forensics Framework ialah pakej utiliti yang digunakan untuk menganalisa hasil memory dump (dalam bentuk fail). Ini termasuk menganalisa fail proses, Windows Registry, sistem dan fail-fail pengguna.
Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).
Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:
Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem
Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem
Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem
Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem
Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).
Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:
Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem
Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem
Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem
Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem
Untuk Analisa Malware dan Mengesan Rootkit
volatility.exe psscan -f C:\memdump.mem
Untuk Senaraikan Semua DLL Untuk Semua Proses Yang Ada
volatility.exe dlllist -f C:\memdump.mem
Untuk Senaraikan Semua DLL Untuk Proses Tertentu Sahaja
volatility.exe dlllist -p <PID> -f C:\memdump.mem
Untuk Senaraikan Proses Dalam Bentuk Tree
volatility.exe pstree -f C:\memdump.mem
Untuk Mencari Mana-mana Process Yang Menggunakan Cmd
volatility.exe consoles -f C:\memdump.mem
Keluar dan Simpankan Semua Fail DLL
volatility.exe dlldump -D <destinasi direktori> -f C:\memdump.mem
Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/
Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.
Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.
Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/
Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.
Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.