Biến động là một công cụ pháp y bộ nhớ nguồn mở

Volatility Phần mềm pháp y kỹ thuật số miễn phí

Công cụ pháp y bộ nhớ phổ biến và được sử dụng rộng rãi nhất thế giới

Biến động Một khung tiện ích trích xuất bộ nhớ nguồn mở. Đó là khung phân tích sự cố và phân tích phần mềm độc hại phổ biến nhất để phân tích các kết xuất bộ nhớ thô.

Tổng quan

Khung biến động là một công cụ pháp y bộ nhớ nguồn miễn phí và nguồn mở. Đó là để theo dõi phản ứng sự cố và phân tích phần mềm độc hại. Công cụ phân tích kết xuất bộ nhớ biến động được Aaron Walters tạo ra trong nghiên cứu học thuật trong khi phân tích pháp y bộ nhớ. Biến động là một bộ sưu tập hoàn toàn mở các công cụ, được viết bằng ngôn ngữ Python và được phát hành theo giấy phép công cộng GNU. Nó được sử dụng để trích xuất các tạo tác kỹ thuật số từ các mẫu bộ nhớ dễ bay hơi (RAM) và hỗ trợ Linux, Windows và Mac OS. Khung pháp y bộ nhớ biến động nhằm giới thiệu các kỹ thuật trích xuất và sự phức tạp liên quan đến các tạo tác kỹ thuật số từ các mẫu bộ nhớ dễ bay hơi khi chạy. Khung tiện ích trích xuất bộ nhớ biến động chạy trên bất kỳ nền tảng nào hỗ trợ Python. Phần mềm Forensics Forensics Phần mềm có các ngôi sao GitHub 5.1k và Fork Github 1.1k.

Yêu cầu hệ thống

Các yêu cầu để cài đặt và định cấu hình công cụ pháp y biến động bao gồm:

  • Phiên bản Python 2.6 trở lên (nhưng không phải 3.x)

  • Máy Windows, Linux hoặc Mac OS X

  • Distorm3 để phân tích các cửa sổ 64 bit

  • Một số plugin yêu cầu Thư viện bên thứ 3

  • Git

Đặc trưng

Các công cụ phân tích bộ nhớ nguồn mở biến động có nhiều tính năng hữu ích và phong phú được liệt kê dưới đây:

  • Phát hiện các kết nối hoạt động
  • Phân tích phần mềm độc hại tiềm năng trong kết xuất bộ nhớ
  • Liệt kê tất cả các tệp đang mở trong hệ thống
  • Huve đăng ký đổ
  • Liệt kê các băm mật khẩu của người dùng
  • Trích xuất trình duyệt và lịch sử nhắc lệnh
  • Danh sách trình điều khiển được tải
  • Hỗ trợ nhiều định dạng tệp khác nhau
  • Mã nguồn mở

Hướng dẫn cài đặt

Cài đặt biến động trên Linux

Trong hướng dẫn này, chúng tôi sẽ mô tả cách cài đặt biến động trên Linux. Nó thực sự dễ dàng để cài đặt và định cấu hình biến động trên bất kỳ phiên bản LTS nào của Ubuntu. Dưới đây các bước cài đặt giả định rằng tất cả các gói phụ thuộc được cài đặt và cập nhật trên hệ điều hành của bạn. Bắt đầu nào. Trước hết, bạn có thể nhận mã nguồn bằng cách tải xuống bản phát hành ổn định hoặc nhân bản từ GitHub bằng lệnh:

    git clone https://github.com/volatilityfoundation/volatility.git

Cài đặt một vài gói/thư viện dưới dạng điều kiện tiên quyết trên Linux biến động với lệnh:

    sudo apt-get install pcregrep libpcre++-dev python-dev -y

Bản sao Git này sẽ tạo một thư mục mã nguồn biến động trên hệ thống của bạn và bây giờ chạy thư mục biến động từ đó. Nếu bạn đã tải xuống kho lưu trữ mã nguồn zip hoặc tar, có hai cách để cài đặt mã:

  • Trích xuất kho lưu trữ và chạy setup.py. Điều này sẽ quan tâm đến việc sao chép các tệp đến đúng vị trí trên đĩa của bạn. Chạy Setup.py chỉ cần thiết nếu bạn muốn nhập không gian tên biến động từ các tập lệnh Python khác làm thư viện.
  • Trích xuất kho lưu trữ vào một thư mục bạn chọn. Để sử dụng biến động, chỉ cần thực hiện python /path/oto/directory/vol.py. Đây là một phương pháp sạch hơn vì không có tệp nào được di chuyển bên ngoài thư mục đã chọn của bạn. Nó dễ dàng hơn để nâng cấp lên các phiên bản mới khi chúng được phát hành. Ngoài ra, bạn có thể dễ dàng có nhiều phiên bản biến động được cài đặt trong các thư mục riêng biệt, ví dụ /home/me/vol2.0 và /home/me/vol2.1.

Để được hỗ trợ plugin toàn diện nhất, bạn nên cài đặt Thư viện và gói sau đây Chúc mừng! Bạn đã cài đặt thành công biến động trên Linux. Thưởng thức!

FAQs

What is Volatility used for?

Volatility is the world’s most widely used best volatile memory forensics framework. It was created by Aaron Walters while drawing on academic research for analyzing memory forensics RAM in 32 bit/64 bit systems.

Is Volatility free?

Yes, Volatility is free to use advance memory forensics framework.

Is Volatility open source?

Yes, Volatility is an open-source memory forensics framework for incident response and malware analysis. Volatility memory analysis open source code repository is available on Github.

Is there an alternative to Volatility?

One of the best alternative to Volatility digital forensics tool is Autopsy Forensic Browser that is available as both free and open-source for Linux, Mac and Windows. Other alternates to Volatility are Caine (Free, Open Source), Rekall (Free, Open Source) and Cado Live (Free).

What is the latest stable version of Volatility?

The latest stable version is 2.6. You can grab the source code, Python installer, or Windows standalone executable from the downloads page.

What is the latest development version of Volatility?

The latest development version is 2.6 which you can clone by checking out the main branch using git like ($ git clone git@github.com:volatilityfoundation/volatility.git).

What operating systems does Volatility support?

You can See the full details on the Release Page.

Khám phá

Trong bài viết này, chúng tôi đã thảo luận về khung biến động. Để tìm hiểu về các công cụ pháp y kỹ thuật số nguồn mở hàng đầu khác, vui lòng truy cập trang sau:

Top 5 công cụ pháp y kỹ thuật số nguồn mở

Phần mềm và công cụ pháp y kỹ thuật số nguồn mở

 Tiếng Việt