01 September 2015

Asas Memori Forensik Menggunakan Volatility

Volatility Memory Forensics Framework ialah pakej utiliti yang digunakan untuk menganalisa hasil memory dump (dalam bentuk fail). Ini termasuk menganalisa fail proses, Windows Registry, sistem dan fail-fail pengguna.

Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).

Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:

Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem

Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem

Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem

Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem

Untuk Analisa Malware dan Mengesan Rootkit
volatility.exe psscan -f C:\memdump.mem

Untuk Senaraikan Semua DLL Untuk Semua Proses Yang Ada
volatility.exe dlllist -f C:\memdump.mem

Untuk Senaraikan Semua DLL Untuk Proses Tertentu Sahaja
volatility.exe dlllist -p <PID> -f C:\memdump.mem

Untuk Senaraikan Proses Dalam Bentuk Tree
volatility.exe pstree -f C:\memdump.mem

Untuk Mencari Mana-mana Process Yang Menggunakan Cmd
volatility.exe consoles -f C:\memdump.mem

Keluar dan Simpankan Semua Fail DLL
volatility.exe dlldump -D <destinasi direktori> -f C:\memdump.mem

Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/

Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.

Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.
5 Kamil Alta: Asas Memori Forensik Menggunakan Volatility Volatility Memory Forensics Framework ialah pakej utiliti yang digunakan untuk menganalisa hasil memory dump (dalam bentuk fail). Ini termas...

No comments:

Post a Comment

< >