• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья VolUtility — фреймворк веб интерфейса Volatility

i3wm

i3wm

Well-known member
31.10.2018
82
41
VolUtility — фреймворк веб интерфейса Volatility


Структура веб интерфейса Volatility

Многие пользователи используют веб интерфейс одного из самых популярных криминалистических фреймворков — The Volatility Framework. The Volatility Framework является полностью открытой коллекцией инструментов, реализованных в Python в соответствии с GNU General Public License, для извлечения цифровых артефактов из образцов энергозависимой памяти (RAM).

Веб-интерфейс для анализа энергозависимой памяти (Web Interface for Volatility Memory Analysis), VolUtility запускает плагины и сохраняет выходные данные в базе данных mongo. Этот фреймворк веб-интерфейса извлекает файлы из плагинов (которые поддерживают dump-dir) и хранят их в базе данных, а также ищет во всех плагинах и в содержимом файлов с помощью строки поиска и правил yara. Позволяет вам продолжать работу с несколькими образами в одной базе данных.

Установка

Проверено на 14.04 LTS

Volatility

Вам необходимо установить volatility. Минимальная необходимая версия 2.5. 2.5, так как это именно та версия, когда был введен единый/унифицированный вывод.
Код:
git clone volatilityfoundation/volatility
cd volatility
sudo python setup.py install
VolUtility на странице помощи, сообщит вам, какую версию вы установили (Если не сразу, то через некоторое время)

Mongo & PyMongo

Сначала, установите mongodb версию 3 или более новую

Затем установите pymongo
Код:
sudo pip install pymongo
Django
Код:
sudo pip install django
Другое
Код:
sudo pip install virustotal-api
Получите код
Код:
git clone kevthehermit/VolUtility
VirusTotal

Если вы хотите добавить общий вирусный ключ создайте файл в
веб-директории под названием vt_key.py в этот файл добавьте одиночную
строчку API_KEY = ‘YourKeyHere’
Запустите код
Код:
cd VolUtility ./manage.py runserver 0.0.0.0:8000
Откройте ваш браузер и перейдите на

Пути к файлам находятся в окне, которое запускает интерфейс. Это не загружает дампы памяти. Просто указывает на них.

Использование VolUtility

Основное использование

Создайте новый сеанс, затем нажмите кнопку запуска рядом с каждым именем плагина. Плагины запускаются в фоновом режиме, и вы будете уведомлены о завершении работы плагина. Нажмите кнопку просмотра рядом с каждым плагином, чтобы просмотреть вывод, который может быть найден и отфильтрован.

Плагины

Вы можете добавить дополнительные директории плагинов, например, плагин Volatility Community. Это необходимо сделать перед созданием нового сеанса. После каждого сеанса будут добавлены дополнительные плагины.

Командная строка Vol

На странице сеанса на панели инструментов есть опция для запуска команд vol. Это требует полной командной строки vol.py без vol.py. например:
Код:
--plugin-dir=/path/to/dir --profile=Win7SP1x86 -f /path/to/image.vmem procdump --dump-dir=/path/to/dump
Почистите DB

Следующие команды почистят всю информацию в базе данных Volutility
Код:
mongo
use voldb
db.dropDatabase()
use voldbfs
db.dropDatabase()
exit
Перевод: Анна Давыдова
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб