Oynaklık (bellek adli tıp) - Volatility (memory forensics)

Uçuculuk
Kararlı sürüm
2.6 / 30 Aralık 2016; 3 yıl once (2016-12-30)
Depohttps://github.com/volatilityfoundation/volatility
YazılmışPython
İşletim sistemipencereler, Mac OS X, Linux
LisansGNU GPL 2.0
İnternet sitesiwww.volatilityfoundation.org

Uçuculuk bir açık kaynak hafıza adli tıp için çerçeve olay yanıtı ve kötü amaçlı yazılım analizi. Yazılmıştır Python ve destekler Microsoft Windows, Mac OS X, ve Linux (sürüm 2.5'ten itibaren[1]).

Volatilite tarafından yaratıldı bilgisayar uzmanı ve girişimci Aaron Walters, yaptığı akademik araştırmalardan yararlanarak hafıza adli tıp.[2][3]

İşletim Sistemi Desteği

Volatilite, aşağıdaki bellek görüntülerinin araştırılmasını destekler:

Pencereler:

  • 32 bit Windows XP (Service Pack 2 ve 3)
  • 32 bit Windows 2003 Sunucusu (Hizmet Paketi 0, 1, 2)
  • 32 bit Windows Vista (Hizmet Paketi 0, 1, 2)
  • 32 bit Windows 2008 Sunucusu (Hizmet Paketi 1, 2)
  • 32 bit Windows 7 (Hizmet Paketi 0, 1)
  • 32 bit Windows 8, 8.1 ve 8.1 Güncellemesi 1
  • 32 bit Windows 10 (ilk destek)
  • 64 bit Windows XP (Service Pack 1 ve 2)
  • 64 bit Windows 2003 Sunucusu (Service Pack 1 ve 2)
  • 64 bit Windows Vista (Hizmet Paketi 0, 1, 2)
  • 64 bit Windows 2008 Sunucusu (Service Pack 1 ve 2)
  • 64 bit Windows 2008 R2 Sunucusu (Service Pack 0 ve 1)
  • 64 bit Windows 7 (Service Pack 0 ve 1)
  • 64 bit Windows 8, 8.1 ve 8.1 Güncellemesi 1
  • 64 bit Windows Server 2012 ve 2012 R2
  • 64 bit Windows 10 (en az 10.0.14393 dahil)
  • 64 bit Windows Server 2016 (en az 10.0.14393.0 dahil)

Mac OS X:

  • 32 bit 10.5.x Leopard (yalnızca 64 bit 10.5, desteklenmeyen Sunucudur)
  • 32 bit 10.6.x Kar Leoparı
  • 32 bit 10.7.x Aslan
  • 64 bit 10.6.x Kar Leoparı
  • 64 bit 10.7.x Aslan
  • 64 bit 10.8.x Dağ Aslanı
  • 64 bit 10.9.x Mavericks
  • 64 bit 10.10.x Yosemite
  • 64 bit 10.11.x El Capitan
  • 64 bit 10.12.x Sierra

Linux:

  • 32 bit Linux çekirdekleri 2.6.11 - 4.2.3
  • 64-bit Linux çekirdekleri 2.6.11 - 4.2.3
  • OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva vb.

Bellek Formatı Desteği

Volatilite, çeşitli örnek dosya formatlarını ve şu formatlar arasında dönüştürme yeteneğini destekler:

  • Ham / Yastıklı Fiziksel Bellek
  • Firewire (IEEE 1394)
  • Uzman Tanık (EWF)
  • 32 ve 64 bit Windows Kilitlenme Dökümü
  • 32 ve 64 bit Windows Hazırda Bekletme (Windows 7 veya önceki sürümlerden)
  • 32 ve 64 bit Mach-O dosyaları
  • Virtualbox Core Dumpları
  • VMware Kaydedilmiş Durumu (.vmss) ve Anlık Görüntü (.vmsn)
  • HPAK Biçimi (FastDump)
  • QEMU bellek dökümleri
  • LiME biçimi

Referanslar

  1. ^ http://www.volatilityfoundation.org/#!25/c1f29
  2. ^ Petroni, N.L., Walters, A., Fraser, T. ve Arbaugh, W.A. (2006). FATKit: Uçucu sistem belleğinden sayısal adli verilerin çıkarılması ve analizi için bir çerçeve. Dijital Araştırma, 3 (4), 197-210.
  3. ^ Walters, A. ve Petroni, N. L. (2007). Volatools: Geçici Belleği Dijital Araştırma Sürecine Entegre Etme. Siyah Şapka Brifingleri DC 2007, 1-18.