Volatility Framework
Что такое Volatility Framework?
Volatility FrameworkОткрытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM).
Volatility Framework — это де-факто стандартный набор инструментов с открытым исходным кодом для форензики оперативной памяти. Проект был выпущен в 2007 году Аароном Уолтерсом и коллегами как Volatility Project и сейчас сопровождается фондом Volatility Foundation. Он разбирает «сырые» снимки памяти (дампы RAM, файлы гибернации, файлы подкачки, снимки VMware/VirtualBox) для Windows, Linux и macOS. Исследователи используют его для перечисления процессов, сетевых соединений, загруженных DLL, кустов реестра, модулей ядра и признаков руткитов даже спустя продолжительное время после выключения системы. Volatility 2 написан на Python 2 и долгое время был стандартом; Volatility 3 выпущен в 2020 году и переписан на Python 3 с автоматической обработкой символов. Это ключевой компонент IR-плейбуков и широко применяется при сортировке вредоносного ПО и расследованиях APT.
● Примеры
- 01
Запуск 'vol.py windows.pslist' против полученного образа памяти для перечисления процессов и обнаружения техники process hollowing.
- 02
Использование 'windows.malfind' для извлечения областей инжектированного шеллкода в ходе расследования ransomware-инцидента.
● Частые вопросы
Что такое Volatility Framework?
Открытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM). Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Volatility Framework?
Открытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM).
Как защититься от Volatility Framework?
Защита от Volatility Framework обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Volatility Framework?
Распространённые альтернативные названия: Volatility, vol.py, Volatility 3.