La volatilidad es una herramienta forense de memoria de código abierto

Volatility Software forense digital gratuito

La herramienta de memoria de memoria más popular y ampliamente utilizada del mundo

Volatilidad Un marco de utilidad de extracción de memoria de código abierto. Es el marco de respuesta de incidentes más popular y análisis de malware para analizar los vertederos de memoria sin procesar.

Descripción general

El marco de volatilidad es una herramienta forense de memoria gratuita y de código abierto. Es monitorear la respuesta a los incidentes y el análisis de malware. La herramienta de análisis de volcado de memoria de volatilidad fue creada por Aaron Walters en la investigación académica mientras analizaba los forenses de memoria. La volatilidad es una colección completamente abierta de herramientas, escrita en lenguaje de Python y lanzada bajo la Licencia Pública General de GNU. Se utiliza para la extracción de artefactos digitales de muestras de memoria volátil (RAM) y admite Linux, Windows y Mac OS. El marco forense de memoria de volatilidad está destinado a introducir técnicas de extracción y complejidades asociadas con artefactos digitales de muestras de memoria volátiles en tiempo de ejecución. Volatility Memory Extraction Utility Framework se ejecuta en cualquier plataforma que admita Python. El software de código abierto de Volatility Forensics tiene 5.1k estrellas GitHub y horquillas de 1.1k GitHub.

Requisitos del sistema

Requisitos para instalar y configurar la herramienta forense de volatilidad incluyen:

  • Python versión 2.6 o posterior (pero no 3.x)

  • Una máquina Windows, Linux o Mac OS X

  • Distorm3 para el análisis de Windows de 64 bits

  • Algunos complementos requieren Bibliotecas de terceros

  • Git

Características

Las herramientas de análisis de memoria de código abierto de volatilidad tienen muchas características útiles y ricas que se enumeran a continuación:

  • Detectar conexiones activas
  • Analizar malware potencial en el volcado de memoria
  • Enumere todos los archivos abiertos en el sistema
  • Dump Registry Hives
  • Enumere los hash de la contraseña de los usuarios
  • Extraer el historial del navegador y el símbolo del sistema
  • Lista de controladores cargados
  • Admite una variedad de formatos de archivo
  • Fuente abierta

Instrucciones de instalación

Instalar volatilidad en Linux

En esta guía, describiremos cómo instalar la volatilidad en Linux. Es realmente fácil instalar y configurar la volatilidad en cualquier versión LTS de Ubuntu. A continuación, los pasos de instalación asumen que todos los paquetes de dependencia están instalados y actualizados en su sistema operativo. Empecemos. En primer lugar, puede obtener el código fuente descargando una versión estable o clonación de GitHub usando el comando:

    git clone https://github.com/volatilityfoundation/volatility.git

Instale algunos paquetes/bibliotecas como requisitos previos en la volatilidad Linux con comando:

    sudo apt-get install pcregrep libpcre++-dev python-dev -y

Este clon Git creará una carpeta de código fuente de volatilidad en su sistema y ahora ejecutará el directorio de volatilidad desde allí. Si ha descargado el archivo de código fuente ZIP o TAR, hay dos formas de instalar el código:

  • Extraiga el archivo y ejecute setup.py. Esto se encargará de copiar archivos en las ubicaciones correctas en su disco. Ejecutar Setup.py solo es necesario si desea importar el espacio de nombres de volatilidad desde otros scripts de Python como una biblioteca.
  • Extraiga el archivo a un directorio de su elección. Para usar la volatilidad, solo haga python /path/to/directory/vol.py. Este es un método más limpio ya que ningún archivo se mueve fuera de su directorio elegido. Hace más fácil actualizarse a nuevas versiones cuando se lanzan. Además, puede tener fácilmente múltiples versiones de volatilidad instaladas en directorios separados, por ejemplo /home/me/vol2.0 y /home/me/vol2.1.

Para el soporte de complemento más completo, debe instalar el siguiente bibliotecas y paquetes ¡Felicidades! Ha instalado con éxito la volatilidad en Linux. ¡Disfrutar!

Preguntas frecuentes

¿Para qué se usa la volatilidad?

La volatilidad es el mejor marco forense de memoria volátil más ampliamente utilizado del mundo. Fue creado por Aaron Walters mientras se basaba en la investigación académica para analizar la RAM de la memoria de memoria en sistemas de 32 bits/64 bits.

¿No es la volatilidad?

Sí, la volatilidad es libre de usar el marco forense de memoria avanzada.

¿El código abierto de la volatilidad?

Sí, la volatilidad es un marco forense de memoria de código abierto para la respuesta a incidentes y el análisis de malware. Análisis de memoria de volatilidad El repositorio de código de código abierto está disponible en Github.

¿Hay una alternativa a la volatilidad?

Una de las mejores alternativas a la herramienta Forense Digital Forensics de Volatility es el navegador forense de autopsia que está disponible como código libre y de código abierto para Linux, Mac y Windows. Otros alternativos a la volatilidad son Caine (gratis, código abierto), Rekall (gratuito, código abierto) y Cado Live (gratis).

¿Cuál es la última versión estable de la volatilidad?

La última versión estable es 2.6. Puede obtener el código fuente, el instalador de Python o el ejecutable de Windows Standalone desde el página de descargas.

¿Cuál es la última versión de desarrollo de la volatilidad?

La última versión de desarrollo es 2.6 que puede clonar controlando la rama principal usando Git como ($ git clone git@github.com: volatilidadfundation/volatilidad.git).

¿Qué sistemas operativos son compatibles con la volatilidad?

Puedes Vea los detalles completos en la página de lanzamiento.

Explorar

En este artículo discutimos sobre el marco de volatilidad. Para conocer otras herramientas forenses digitales de código abierto, visite la siguiente página:

Top 5 Herramientas forenses digitales de código abierto

Software y herramientas forenses digitales de código abierto

 Español