Kali Linux. Forensic Framework Volatility

namekatosa · 29 апр 2018

Данный фреймворк кросcплатформенный с открытым исходным кодом, написан на python. Имеет множество плагинов, позволяет писать свои, на официальном сайте фреймворка вроде как, даже проходил конкурс на написание лучшего плагина. Это инструмент командной строки, но имеется и web интерфейс, который устанавливается отдельно. Фреймворк предустановлен в Kali linux и BlackArch.

Репозитории на Github:

Фреймворк

Web интерфейс

Там же на Github доступно довольно не плохое wiki, правда полностью на английском.

Фреймворк позволяет исследовать данные в памяти Ram.

С помощью этого инструмента можно извлекать данные о запущенных процессах, списки открытых сетевых соединений и сокетов, библиотеки, модули ядра, какие были открыты файлы процессами.

Volatility поддерживает довольно большой список образов ram:

32-bit Windows XP Service Pack 2 and 3

32-bit Windows 2003 Server Service Pack 0, 1, 2

32-bit Windows Vista Service Pack 0, 1, 2

32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)

32-bit Windows 7 Service Pack 0, 1

32-bit Windows 8, 8.1, and 8.1 Update 1

32-bit Windows 10 (initial support)

64-bit Windows XP Service Pack 1 and 2 (there is no SP0)

64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)

64-bit Windows Vista Service Pack 0, 1, 2

64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)

64-bit Windows 2008 R2 Server Service Pack 0 and 1

64-bit Windows 7 Service Pack 0 and 1

64-bit Windows 8, 8.1, and 8.1 Update 1

64-bit Windows Server 2012 and 2012 R2

64-bit Windows 10 (including at least 10.0.14393)

64-bit Windows Server 2016 (including at least 10.0.14393.0)

32-bit Linux kernels 2.6.11 to 4.2.3

64-bit Linux kernels 2.6.11 to 4.2.3

32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)

32-bit 10.6.x Snow Leopard

64-bit 10.6.x Snow Leopard

32-bit 10.7.x Lion

64-bit 10.7.x Lion

64-bit 10.8.x Mountain Lion (there is no 32-bit version)

64-bit 10.9.x Mavericks (there is no 32-bit version)

64-bit 10.10.x Yosemite (there is no 32-bit version)

64-bit 10.11.x El Capitan (there is no 32-bit version)

64-bit 10.12.x Sierra (there is no 32-bit version)

Есть готовые образы для тестирования и обучения.

Теперь немного расскажу о плагинах.

Imageinfo - данный плагин чаще всего используется для краткого описания образца памяти, идентификации операционной системы, пакета обновлений, архитектуры.
Envars - имя сеанса, имя компьютера, имя пользователя
kdbgscan - в отличие от предыдущего плагина этот используется для более детального или даже более правильного анализа и определения
PsList - используется для вывода списка процессов в системе, имя процесса, идентификатор процесса, идентификатор родительского процесса, количество потоков, количество дескрипторов и дату / время, когда процесс запускается и завершается
Dlllist - отображает загруженные DLL-файлы процесса
Dlldump - извлекает DLL из памяти процесса и позволяет выгрузить его для анализа
Cmdscan - это одна из самых мощных команд, используется для получения видимости действий злоумышленников в системе, независимо от того, открыли ли они cmd.exe через сеанс RDP или проксированный ввод / вывод в командную оболочку из сетевого бэкдора.
ProcDump - позволяет выгрузить исполняемый файл процесса
connections - просмотр TCP соединений на момент выгрузки памяти.Эта команда предназначена только для x86 и x64 для Windows XP и Windows 2003 Server.
Hashdump - извлекает и дешифрует учетные данные кэшированного домена, хранящиеся в реестре
Mbrparser - Сканирует и анализирует потенциальные записи главной загрузки (MBR).

Остальные функции и плагины можете найти на wiki.

Установка и использование.

С консольной версией все просто. Так как она предустановлена у многих то просто вводим:
volatility -h

Код
volatility -h
и смотрим справку по нашей тулзе.

Теперь по GUI интерфейсу, для его работоспособности нужны docker и mangodb.
sudo apt-get install python-dev python-pip git libimage-exiftool-perl mongodb docker docker-containerd
git clone https://github.com/kevthehermit/VolUtility.git
cd VolUtility
sudo pip install -r requirements.txt4
service mongodb start
sudo docker-containerd run -d -p 27017:27017 --name vol-mongo mongo
python manage.py -h
python manage.py runserver

Код
sudo apt-get install python-dev python-pip git libimage-exiftool-perl mongodb docker docker-containerd

git clone https://github.com/kevthehermit/VolUtility.git

cd VolUtility

sudo pip install -r requirements.txt4

service mongodb start

sudo docker-containerd run -d -p 27017:27017 --name vol-mongo mongo

python manage.py -h

python manage.py runserver
Вроде всё. Далее, идем в браузер по адресу 127.0.0.1:8000 и начинаем ковырять, изучать, пытаться анализировать.

Форк бомба на Linux.

Есть статьи по maltego?

Пробиваем людей по номеру

Гейминг на Linux: миф или реальность?

Подглядываем за чужой вебкой [Kali Linux]

Разведка для pentesta | принципы разведки | инструменты для разведки

****им RDP, SSH, VNC с помощью Crowbar

Как поиграть в игры на linux лёгкий способ

КАК ХАЦНУТЬ wi-fi?

Базовая информация по сетевому взаимодействию

Установка kali linux на android (termux)

Как установить Kali Linux на флешку с сохранением и без + переходом Gnub ? Мини-Гайд

Взлом ПК с помощью GIF

Взламываем сайты за 5 минут [ Kali Linux ]

Взлом любого телефона Android за пару минут

Создание бэкдора HTTP-сервера Apache

Базовая эскалация привелегий (PrivEsc)

Браузер в консоли Linux

Среда Kali Nethunter в Termux (Перезалив)

[ Kali Linux ] Роняем сайты c помощью "Xerses"

Площадки по пентесту в 2024 году

Взлом Андроид телефона

Взлом Android с помощью Kali (Удаленно)

Решение проблемы подключения ардуино к Ubuntu

Быстрый анализатор ссылок PIDRILA (лучше чем Dirb)

Memcrashed ddos termux

Инструкция по использованию Wifite

Инструменты Kali Linux: мощь тестирования и безопасности (Новичкам)

Установка Python нужной версии на Kali Linux

Взлом/перебор логин-панелей Wordpress

Kali Linux. Forensic Framework Volatility