Balík: volatility (2.6.1-1)

pokročilá platforma na forenznú analýzu pamäte

Platforma Volatility Framework je kompletne otvorená kolekcia nástrojov na získavanie digitálnych artefaktov zo vzoriek pamäte RAM. Je užitočná na forenznú analýzu. Techniky extrakcie sa dejú kompletne nezávisle od vyšetrovaného systému, ale ponúkajú bezprecedentný pohľad do stavu systému v čase behu.

Volatility podporuje obrazy pamäte zo všetkých hlavných verzií 32- a 64-bit ových Windows a ich service packov. Či už je váš obraz v priamom formáte, Microsoft crash dump, hibernačný súbor alebo snímka virtuálneho stroja, Volatility s ním dokáže pracovať.

Tiež podporuje linuxové obraz pamäte v priamom formáte alebo vo formáte LiME. Existuje niekoľko zásuvných modulov na analýzy obrazov pamäte z 32- a 64-bitových jadier Linuxu a relevantných distribúcií ako sú Debian, Ubuntu, openSUSE, RedHat, Fedora, CentOS, Mandriva atď.

Volatility tiež podporuje niekoľko verzií obrazov pamäte Mac OSX v 32- aj 64-bitovom variante. Tiež podporuje telefóny Android s procesormi ARM.

Toto sú niektoré z dát, ktoré je možné získať z obrazu pamäte:

 * informácie o obraze (dátum, čas, počet CPU)
 * bežiace procesy
 * otvorené sieťové sockety a spojenia
 * načítané moduly jadra OS
 * mapy pamäte každého procesu
 * vzorky spustiteľných súborov
 * história príkazov
 * podozrivé mapovanie procesov (t.j. zmenený kód)
 * heslá vo forme hašov LM/NTLM a hesiel LSA
 * heslá Truecrypt z vyrovnávacej pamäte
 * iné

Aktuálna verzia (2.6) podporuje vyšetrovanie obrazov pamäte z nasledovných operačných systémov:

 * 32-bitový Windows XP Service Pack 2 a 3
 * 32-bitový Windows 2003 Server Service Pack 0, 1, 2
 * 32-bitový Windows Vista Service Pack 0, 1, 2
 * 32-bitový Windows 2008 Server Service Pack 1, 2 (SP0 neexistuje)
 * 32-bitový Windows 7 Service Pack 0, 1
 * 32-bitový Windows 8, 8.1 a 8.1 Update 1
 * 32-bitový Windows 10 (základná podpora)
 * 64-bitový Windows XP Service Pack 1 a 2 (SP0 neexistuje)
 * 64-bitový Windows 2003 Server Service Pack 1 a 2 (SP0 neexistuje)
 * 64-bitový Windows Vista Service Pack 0, 1, 2
 * 64-bitový Windows 2008 Server Service Pack 1 a 2 (SP0 neexistuje)
 * 64-bitový Windows 2008 R2 Server Service Pack 0 a 1
 * 64-bitový Windows 7 Service Pack 0 a 1
 * 64-bitový Windows 8, 8.1 a 8.1 Update 1
 * 64-bitový Windows Server 2012 a 2012 R2
 * 64-bitový Windows 10 (vrátane minimálne 10.0.14393)
 * 64-bitový Windows Server 2016 (vrátane minimálne 10.0.14393.0)
 * 32-bitové jadrá Linux 2.6.11 až 4.2.3
 * 64-bitové jadrá Linux 2.6.11 až 4.2.3
 * 32-bitový 10.5.x Leopard (jediný 64-bitový 10.5 je Server, ktorý
   nie je podporovaný)
 * 32-bitový 10.6.x Snow Leopard
 * 64-bitový 10.6.x Snow Leopard
 * 32-bitový 10.7.x Lion
 * 64-bitový 10.7.x Lion
 * 64-bitový 10.8.x Mountain Lion (32-bitová verzia neexistuje)
 * 64-bitový 10.9.x Mavericks (32-bitová verzia neexistuje)
 * 64-bitový 10.10.x Yosemite (32-bitová verzia neexistuje)
 * 64-bitový 10.11.x El Capitan (32-bitová verzia neexistuje)
 * 64-bitový 10.12.x Sierra (32-bitová verzia neexistuje)

Volatility podporuje rôzne formáty súborov vzoriek:

   - priama lineárna vzorka (dd)
   - hibernačný súbor (z Windows 7 a starších)
   - súbor crash dump
   - VirtualBox ELF64 core dump
   - súbory uloženého stavu a snímok VMware
   - formát EWF (E01)
   - formát LiME
   - formát súboru Mach-O
   - obrazy virtuálnych strojov QEMU
   - Firewire
   - HPAK (FDPro)

Táto stránka je tiež dostupná v nasledovných jazykov (ako nastaviť predvolený jazyk dokumentov):