Волатильность (криминалистика памяти) - Volatility (memory forensics)

Волатильность
Стабильный выпуск
2.6 / 30 декабря 2016 г.; 3 года назад (2016-12-30)
Репозиторийhttps://github.com/volatilityfoundation/volatility
Написано вPython
Операционная системаWindows, Mac OS X, Linux
ЛицензияGNU GPL 2.0
Интернет сайтwww.volatilityfoundation.org

Волатильность является Открытый исходный код криминалистика памяти рамки для реакция на инцидент и вредоносное ПО анализ. Это написано в Python и поддерживает Майкрософт Виндоус, Mac OS X, и Linux (начиная с версии 2.5[1]).

Волатильность была создана специалист в области информатики и предприниматель Аарон Уолтерс, опираясь на академические исследования, которые он провел в криминалистика памяти.[2][3]

Поддержка операционной системы

Volatility поддерживает исследования следующих образов памяти:

Windows:

  • 32-битная Windows XP (Service Pack 2 и 3)
  • 32-битная Windows 2003 Server (Service Pack 0, 1, 2)
  • 32-битная Windows Vista (Service Pack 0, 1, 2)
  • 32-битная Windows 2008 Server (Service Pack 1, 2)
  • 32-битная Windows 7 (Service Pack 0, 1)
  • 32-битная Windows 8, 8.1 и 8.1 с обновлением 1
  • 32-битная Windows 10 (начальная поддержка)
  • 64-битная Windows XP (Service Pack 1 и 2)
  • 64-битная Windows 2003 Server (Service Pack 1 и 2)
  • 64-битная Windows Vista (Service Pack 0, 1, 2)
  • 64-битная Windows 2008 Server (Service Pack 1 и 2)
  • 64-битный Windows 2008 R2 Server (Service Pack 0 и 1)
  • 64-битная Windows 7 (Service Pack 0 и 1)
  • 64-битная Windows 8, 8.1 и 8.1 с обновлением 1
  • 64-битная Windows Server 2012 и 2012 R2
  • 64-битная Windows 10 (включая не менее 10.0.14393)
  • 64-битная Windows Server 2016 (включая не менее 10.0.14393.0)

Mac OS X:

  • 32-битный 10.5.x Leopard (единственная 64-битная версия 10.5 - это сервер, который не поддерживается)
  • 32-битная версия 10.6.x Snow Leopard
  • 32-битная версия 10.7.x Lion
  • 64-битная версия 10.6.x Snow Leopard
  • 64-битная версия 10.7.x Lion
  • 64-битная версия 10.8.x Mountain Lion
  • 64-разрядная версия 10.9.x Mavericks
  • 64-битная версия 10.10.x Yosemite
  • 64-битная версия 10.11.x El Capitan
  • 64-разрядная версия 10.12.x Sierra

Linux:

  • 32-битные ядра Linux с 2.6.11 по 4.2.3
  • 64-битные ядра Linux с 2.6.11 по 4.2.3
  • OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva и др.

Поддержка формата памяти

Volatility поддерживает различные форматы файлов примеров и возможность преобразования между этими форматами:

  • Необработанная / заполненная физическая память
  • Firewire (IEEE 1394)
  • Свидетель-эксперт (EWF)
  • 32- и 64-битный аварийный дамп Windows
  • 32- и 64-разрядная гибернация Windows (из Windows 7 или более ранней версии)
  • 32- и 64-битные файлы Mach-O
  • Дампы ядра Virtualbox
  • Сохраненное состояние VMware (.vmss) и моментальный снимок (.vmsn)
  • Формат HPAK (FastDump)
  • Дампы памяти QEMU
  • Формат LiME

Рекомендации

  1. ^ http://www.volatilityfoundation.org/#!25/c1f29
  2. ^ Петрони, Н. Л., Уолтерс, А., Фрейзер, Т., и Арбо, В. А. (2006). FATKit: фреймворк для извлечения и анализа цифровых данных судебной экспертизы из энергозависимой системной памяти.. Цифровое расследование, 3 (4), 197-210.
  3. ^ Уолтерс А. и Петрони Н. Л. (2007). Volatools: интеграция энергозависимой памяти в процесс цифрового расследования. Брифинги Black Hat DC 2007, 1-18.