The Volatility Framework

提供: セキュリティ
2014年2月2日 (日) 21:18時点におけるDaemon (トーク | 投稿記録)による版

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

The Volatility Framework とは、完全なツールのオープンコレクションです。GNUライセンスで、Pythonで実装されています。揮発性メモリ(volatile memory, RAM)からデジタルアーティファクトを取り出します。

読み方

The Volatility Framework
ざ ぼらたりてぃ ふれーむわーく

概要

抽出のテクニックは、調査対称のシステムに完全に独立して実行します。

ダウンロード

Windows版もあります。

インストール

FreeBSDにインストールする場合

pkgコマンドでインストールする場合

sudo pkg install py27-volatility

FreeBSDにインストールする場合

ports コレクションからインストールする場合

cd /usr/ports/security/py-volatility
sudo make install clean

pkgコマンドでインストールする場合

sudo pkg install py-volatility

portmasterコマンドでインストールする場合

sudo portmaster -y -d /usr/ports/security/py-volatility

portinstallコマンドでインストールする場合

sudo portinstall /usr/ports/security/py-volatility

使い方

vol.py

vol.pyは、Volatility のコマンドです。 vol.pyのコマンドラインオプションについては、vol.pyをご参照ください。

Windowsのメモリダンプからハッシュを取得し、パスワードクラックする

  1. imageinfo でメモリの情報を抽出します。この例では、Windows 7のメモリと表示されています。
  2. hivelist でメモリ内のファイルの情報を抽出します。
  3. hashdump でメモリ内のパスワードハッシュを取得します。
C:\forensic>volatility-2.3.1.standalone.exe imageinfo -f Memorydump2.bin
Volatility Foundation Volatility Framework 2.3.1
Determining profile based on KDBG search...
 
          Suggested Profile(s) : Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (C:\forensic\Memorydump2.bin)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x83341be8L
          Number of Processors : 1
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0x83342c00L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2012-05-02 07:07:07 UTC+0000
     Image local date and time : 2012-05-02 03:07:07 -0400
 
 
C:\forensic>volatility-2.3.1.standalone.exe hivelist -f Memorydump2.bin --profile=Win7SP0x86
Volatility Foundation Volatility Framework 2.3.1
Virtual    Physical   Name
---------- ---------- ----
0x9ff5a3c0 0x37fbb3c0 \SystemRoot\System32\Config\SECURITY
0x9ffc03a0 0x30e243a0 \SystemRoot\System32\Config\SAM
0x8f60c568 0x04bbc568 [no name]
0x8f61c008 0x005d2008 \REGISTRY\MACHINE\SYSTEM
0x8f6448d8 0x04b3c8d8 \REGISTRY\MACHINE\HARDWARE
0x90659650 0x199c0650 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0x906d8008 0x13200008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x93cf5008 0x38814008 \Device\HarddiskVolume1\Boot\BCD
0x93d479d0 0x388c19d0 \SystemRoot\System32\Config\SOFTWARE
0x989bc008 0x37920008 \SystemRoot\System32\Config\DEFAULT
0x9e6e69d0 0x005469d0 \??\C:\Users\forensics\ntuser.dat
0x9efe5650 0x028aa650 \??\C:\Users\forensics\AppData\Local\Microsoft\Windows\Usr Class.dat

SysKey(SYSTEM) が 0x8f61c008 SAMデータベース(SAM)が0x9ff5a3c0があります。

volatility-2.3.1.standalone.exe hashdump -f Memorydump2.bin --profile=Win7SP0x86 -y 0x8f61c008 -s 0x9ffc03a0 > hashs.txt

取得したパスワードは、John the Ripper等でクラックできます。

$ sudo john --format=nt hashs.txt
Loaded 1 password hash (NT MD4 [128/128 X2 SSE2-16])
XXXXX            (user)
guesses: 1  time: 0:00:00:48 DONE (Sat Jan 25 13:28:05 2014)  c/s: 21278K  trying: XXXXX - XXXXX
Use the "--show" option to display all of the cracked passwords reliably

関連項目

  • フォレンジックツール
  • EnCase
    商用
  • X-Ways
    フリー
  • The Sleuth Kit
    OSS ディスク調査用
  • Autopsy
    The Sleuth Kit をベースにした GUI ツール
  • The Volatility Framework
    メモリフォレンジックに特化したプラグイン拡張型ツール
  • LiME - Linux Memory Extractor (lime-forensics)
    ローダブルカーネルモジュール(LKM)です。LinuxやLinuxベースのデバイスから揮発性メモリを取得します。
  • SIFT Workstation
    Ubuntu ベースのフォレンジックツール一式を収めた VMware アプライアンス
  • TestDisk
    削除、破損したパーティション、ファイルの復元、修復ツール
  • plaso
    いろいろなデータからタイムスタンプを抽出する。タイムラインを作成するツール。 以前は、 log2timeline という名称でした。
  • bulk_extractor
    ディスクイメージから高速に情報を探索・収集する
  • dff
    ディスク調査
  • Metagoofil
    情報収集
  • pev
    Windows プログラムの簡易解析
  • extundelete
    ファイル復元
    ext ファイルシステム向けのファイル復元ツールです。
    ext3, ext4



スポンサーリンク