Volatility

L’analyse du contenu de la mémoire volatile (RAM) permet de trouver différentes informations, sur l’état du système par exemple.

L’analyse de la mémoire volatile va permettre de découvrir des connexions réseau ouvertes, les mots de passe utilisés récemment, les fichiers effacés, le contenu du registre Windows...

Volatility est un des plus grands projets Open Source pour le Forensic. C’est un framework Python avec de nombreuses librairies permettant d’extraire des données des mémoires volatiles.

La structure de Volatility permet de développer des modules pour extraire des données spécifiques de la RAM.

Par défaut les modules sont :

  • Affichage de la liste des connexions réseau ouvertes et scan des objets de connexion.

  • Affichage de la liste des DLL chargées par chaque processus.

  • Affichage des fichiers ouverts pour chaque processus.

  • Réalisation de différents dump.

  • Identification de la propriété des images incluant les données, l’horaire, la date et le lieu.

  • Affichage d’une liste des clés de registre pour chaque processus trouvé dans la table des processus.

Des plugins ont été ajoutés par diverses personnes, dont ceux-ci :

  • CryptoScan : trouve les passphrases TrueCrypt.

  • Suspicious : trouve les processus suspects.

  • Keyboardbuffer : extrait le buffer de clavier utilisé par le BIOS.

  • Getsids : trouve...

couv_EP2HAFO.png

Découvrez 

le livre :
je lis la suite !

Aussi inclus dans nos :

41-logo_abonnement.svgAbonnements
Précédent
Stéganographie
Suivant
Analyse des points d’accès sans fil dans la base de registre
logo_ENI_global.svgConditions générales d'utilisationCopyright - © Editions ENI ||Politique de protection des données du groupe ENI