Порядок волатильности
Что такое Порядок волатильности?
Порядок волатильностиПриоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
Порядок волатильности — базовый принцип DFIR, зафиксированный в RFC 3227, ранжирующий цифровые доказательства по скорости их изменения и исчезновения. Каноничный порядок: регистры и кэш ЦП; память ядра и процессов; сетевое состояние и ARP-кэши; запущенные процессы; временные файловые системы; постоянные носители; данные удалённого логирования и мониторинга; и наконец, физическая конфигурация и архивные носители. Респондерам необходимо снимать образы волатильных источников до отключения питания или перезагрузки, потому что ОЗУ, сетевые сессии и состояние маршрутизации теряются при выключении. В современном IR на Windows это обычно означает снятие памяти WinPmem или DumpIt и триаж волатильных артефактов KAPE или Velociraptor до процедур упорядоченного выключения.
● Примеры
- 01
Снятие дампа памяти и вывода netstat до отключения хоста, рассылающего маяки.
- 02
Сбор актуальных ключей TLS-сессий из ОЗУ до того, как они будут уничтожены при выходе из системы.
● Частые вопросы
Что такое Порядок волатильности?
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Порядок волатильности?
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
Как работает Порядок волатильности?
Порядок волатильности — базовый принцип DFIR, зафиксированный в RFC 3227, ранжирующий цифровые доказательства по скорости их изменения и исчезновения. Каноничный порядок: регистры и кэш ЦП; память ядра и процессов; сетевое состояние и ARP-кэши; запущенные процессы; временные файловые системы; постоянные носители; данные удалённого логирования и мониторинга; и наконец, физическая конфигурация и архивные носители. Респондерам необходимо снимать образы волатильных источников до отключения питания или перезагрузки, потому что ОЗУ, сетевые сессии и состояние маршрутизации теряются при выключении. В современном IR на Windows это обычно означает снятие памяти WinPmem или DumpIt и триаж волатильных артефактов KAPE или Velociraptor до процедур упорядоченного выключения.
Как защититься от Порядок волатильности?
Защита от Порядок волатильности обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Порядок волатильности?
Распространённые альтернативные названия: Очерёдность волатильности, Порядок RFC 3227.
● Связанные термины
- forensics-ir№ 787
pagefile.sys
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
- forensics-ir№ 474
hiberfil.sys
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.