Volatility Framework: Análise de Memória Volátil
O
Volatility Framework é uma coleção completa de ferramentas open source implementadas em Python sob a licença GPL, para a extração de artefatos digitais da memória volátil (RAM). As técnicas de extração são executadas de forma completamente independente do sistema que está sendo executado e pode fornecer uma visibilidade sem precedentes do estado de execução do sistema.
Este framework visa principalmente introduzir as pessoas às técnicas e complexidades associadas com a extração de artefatos digitais da memória volátil e prover uma plataforma estável para trabalhar com esta excitante área, que é a de Research.
Capabilities
The Volatility Framework provê as seguintes features para volatile memory extraction:
- Image date and time
- Running processes
- Open network sockets
- Open network connections
- DLLs loaded for each process
- Open files for each process
- Open registry handles for each process
- A process' addressable memory
- OS kernel modules
- Mapping physical offsets to virtual addresses (strings to process)
- Virtual Address Descriptor information
- Scanning examples: processes, threads, sockets, connections,modules
- Extract executables from memory samples
- Transparently supports a variety of sample formats (ie, Crash dump, Hibernation, DD)
- Automated conversion between formats
Plataformas suportadas
O Volatility framework executa em qualquer plataforma onde o
Python environment estiver disponível. Ele foi testado com sucesso nas seguintes plataformas:
- Linux
- Cygwin
- Windows
- OSX 10.5 (Thanks: sam f. stover)
Os desenvolvedores solicitam que caso você teste o framework em outras plataformas além das citadas acima com sucesso, para enviar o case para volatility@volatilesystems.com.
Maiores informações
Outras dicas deste autor
Usando skins de Winamp no XMMS
FireKeep: Firefox agindo como IDS
Tomcat 5 em 10 comandos
Redirecionamento de portas com rinetd
ASSH - Anonymous Secure Shell em Linux
Leitura recomendada
SQUID + Autenticação Segura no AD (NTLM)
Recuperação da senha do super-usuário (root)
SSHFS - Montando sistema de arquivos remotos via SSH (Secure Shell)
A importância de rastrear comandos com o HISTFILE
Nessus - Vulnerability Scan
Comentários
Nenhum coment�rio foi encontrado.