「The Volatility Framework」の版間の差分
提供: セキュリティ
(ページの作成:「The Volatility Framework とは、完全なツールのオープンコレクションです。GNUライセンスで、Pythonで実装されています。揮発...」) |
(相違点なし)
|
2014年2月2日 (日) 21:08時点における版
The Volatility Framework とは、完全なツールのオープンコレクションです。GNUライセンスで、Pythonで実装されています。揮発性メモリ(volatile memory, RAM)からデジタルアーティファクトを取り出します。
読み方
- The Volatility Framework
- ざ ぼらたりてぃ ふれーむわーく
目次
概要
抽出のテクニックは、調査対称のシステムに完全に独立して実行します。
ダウンロード
Windows版もあります。
インストール
FreeBSDにインストールする場合
pkgコマンドでインストールする場合
sudo pkg install py27-volatility
FreeBSDにインストールする場合
ports コレクションからインストールする場合
cd /usr/ports/security/py-volatility sudo make install clean
pkgコマンドでインストールする場合
sudo pkg install py-volatility
portmasterコマンドでインストールする場合
sudo portmaster -y -d /usr/ports/security/py-volatility
portinstallコマンドでインストールする場合
sudo portinstall /usr/ports/security/py-volatility
使い方
Windowsのメモリダンプからハッシュを取得し、パスワードクラックする
C:\forensic>volatility-2.3.1.standalone.exe imageinfo -f Memorydump2.bin Volatility Foundation Volatility Framework 2.3.1 Determining profile based on KDBG search... Suggested Profile(s) : Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : FileAddressSpace (C:\forensic\Memorydump2.bin) PAE type : PAE DTB : 0x185000L KDBG : 0x83341be8L Number of Processors : 1 Image Type (Service Pack) : 0 KPCR for CPU 0 : 0x83342c00L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2012-05-02 07:07:07 UTC+0000 Image local date and time : 2012-05-02 03:07:07 -0400 C:\forensic>volatility-2.3.1.standalone.exe hivelist -f Memorydump2.bin --profile=Win7SP0x86 Volatility Foundation Volatility Framework 2.3.1 Virtual Physical Name ---------- ---------- ---- 0x9ff5a3c0 0x37fbb3c0 \SystemRoot\System32\Config\SECURITY 0x9ffc03a0 0x30e243a0 \SystemRoot\System32\Config\SAM 0x8f60c568 0x04bbc568 [no name] 0x8f61c008 0x005d2008 \REGISTRY\MACHINE\SYSTEM 0x8f6448d8 0x04b3c8d8 \REGISTRY\MACHINE\HARDWARE 0x90659650 0x199c0650 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT 0x906d8008 0x13200008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT 0x93cf5008 0x38814008 \Device\HarddiskVolume1\Boot\BCD 0x93d479d0 0x388c19d0 \SystemRoot\System32\Config\SOFTWARE 0x989bc008 0x37920008 \SystemRoot\System32\Config\DEFAULT 0x9e6e69d0 0x005469d0 \??\C:\Users\forensics\ntuser.dat 0x9efe5650 0x028aa650 \??\C:\Users\forensics\AppData\Local\Microsoft\Windows\Usr Class.dat
SysKey(SYSTEM) が 0x8f61c008 SAMデータベース(SAM)が0x9ff5a3c0があります。
volatility-2.3.1.standalone.exe hashdump -f Memorydump2.bin --profile=Win7SP0x86 -y 0x8f61c008 -s 0x9ffc03a0 > hashs.txt
$ sudo john --format=nt hashs.txt Loaded 1 password hash (NT MD4 [128/128 X2 SSE2-16]) XXXXX (user) guesses: 1 time: 0:00:00:48 DONE (Sat Jan 25 13:28:05 2014) c/s: 21278K trying: XXXXX - XXXXX Use the "--show" option to display all of the cracked passwords reliably
関連項目
- フォレンジックツール
- EnCase
- 商用
- X-Ways
- フリー
- The Sleuth Kit
- OSS ディスク調査用
- Autopsy
- The Sleuth Kit をベースにした GUI ツール
- The Volatility Framework
- メモリフォレンジックに特化したプラグイン拡張型ツール
- LiME - Linux Memory Extractor (lime-forensics)
- ローダブルカーネルモジュール(LKM)です。LinuxやLinuxベースのデバイスから揮発性メモリを取得します。
- SIFT Workstation
- TestDisk
- 削除、破損したパーティション、ファイルの復元、修復ツール
- plaso
- いろいろなデータからタイムスタンプを抽出する。タイムラインを作成するツール。 以前は、 log2timeline という名称でした。
- bulk_extractor
- ディスクイメージから高速に情報を探索・収集する
- dff
- ディスク調査
- Metagoofil
- 情報収集
- pev
- Windows プログラムの簡易解析
- extundelete
- ファイル復元
- ext ファイルシステム向けのファイル復元ツールです。
- ext3, ext4