Volatility 框架
Volatility 框架 是什么?
Volatility 框架由 Aaron Walters 与 Volatility 基金会主创的开源内存取证框架,用于从易失性内存(RAM)镜像中提取数字痕迹。
Volatility 框架是事实上的开源内存取证工具集。该项目最初由 Aaron Walters 等人于 2007 年作为 Volatility Project 发布,目前由 Volatility 基金会维护。它能够解析 Windows、Linux 和 macOS 系统下的原始内存采集数据(RAM 转储、休眠文件、页面文件、VMware/VirtualBox 快照)。调查人员通过它枚举进程、网络连接、已加载 DLL、注册表配置单元、内核模块以及 rootkit 痕迹,即使系统已关机仍可分析。Volatility 2 基于 Python 2 编写,长期作为业界标准;Volatility 3 于 2020 年发布,使用 Python 3 重写并提供自动符号处理。它是事件响应剧本的核心组件,广泛用于恶意软件分诊和 APT 调查。
● 示例
- 01
对已采集的内存镜像运行 'vol.py windows.pslist',列出运行中的进程并识别被掏空的二进制文件。
- 02
在勒索软件调查中使用 'windows.malfind' 提取注入的 shellcode 区域。
● 常见问题
Volatility 框架 是什么?
由 Aaron Walters 与 Volatility 基金会主创的开源内存取证框架,用于从易失性内存(RAM)镜像中提取数字痕迹。 它属于网络安全的 取证与应急响应 分类。
Volatility 框架 是什么意思?
由 Aaron Walters 与 Volatility 基金会主创的开源内存取证框架,用于从易失性内存(RAM)镜像中提取数字痕迹。
Volatility 框架 是如何工作的?
Volatility 框架是事实上的开源内存取证工具集。该项目最初由 Aaron Walters 等人于 2007 年作为 Volatility Project 发布,目前由 Volatility 基金会维护。它能够解析 Windows、Linux 和 macOS 系统下的原始内存采集数据(RAM 转储、休眠文件、页面文件、VMware/VirtualBox 快照)。调查人员通过它枚举进程、网络连接、已加载 DLL、注册表配置单元、内核模块以及 rootkit 痕迹,即使系统已关机仍可分析。Volatility 2 基于 Python 2 编写,长期作为业界标准;Volatility 3 于 2020 年发布,使用 Python 3 重写并提供自动符号处理。它是事件响应剧本的核心组件,广泛用于恶意软件分诊和 APT 调查。
如何防御 Volatility 框架?
针对 Volatility 框架 的防御通常结合技术控制与运营实践,详见上方完整定义。
Volatility 框架 还有哪些其他名称?
常见的别称包括: Volatility, vol.py, Volatility 3。
● 相关术语
- forensics-ir№ 668
内存取证
获取并分析系统易失性 RAM 的取证学科,用以揭示运行进程、网络连接、注入代码及内存中的痕迹。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- forensics-ir№ 1156
时间线分析
一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。