فناوری پردازش نوین اطلاعات خوارزمی فپنا
دوشنبه 8 خرداد 1402 02:22:13

مروری بر ابزارهای جرمیابی حافظه

ابزار volatility

این نرم افزار یک نرم افزار open source و چهار چوبی برای جرم یابی حافظه به منظور انجام فعالیت incident response و   malware analysis می­باشد. این نرم افزار هم سیستم عامل ویندوز و هم لینوکس را پشتیبانی می­کند. یکی از راه­ های بازسازی (Reconstruction) حافظه، پیمایش درخت و لیست می­باشد، این نرم افزار یکی از نرم افزارهایی است که برای این منظور قابل استفاده می­باشد.

ابزار volatility قابلیت استخراج از فرآیندهای در حال اجرا، سوکت­های باز شبکه، DLLهای بارگذاری شده برای هر فرآیند، ماژول­های kernel سیستم عامل، استخراج اطلاعات PE، استخراج System call tables (IDT، GDT، SSDT)، استخراج API hooks در دو حالت user- and kernel-mode (inline، IAT، EAT، NT syscall، winsock)، دستگيره هاي رجيستري باز شده براي پردازه، ماژول هاي كرنل و غيره از كپي حافظه مي باشد و با فرمت هاي مختلف رونوشت از جمله فرمت خام، رونوشت شكست و فايل hibernation کار می کند. این ابزار ارائه گزارش بر روی سرویس­های ویندوز و بسیاری دیگر از این قبیل موارد را دارا می­باشد.در این ابزار به هنگام كار روي كپي حافظه  يك سيستم، نسخه ي سيستم عامل بايد دقيق مشخص شود؛ چرا كه ساختارهاي مورد استفاده براي تعيين پردازه ها و نخ ها در حافظه بين نسخه هاي سيستم عامل ويندوز متفاوت است. حتي نسخه هاي يكسان با سرويس پك هاي متفاوت داراي ساختارهاي متفاوتي می باشند. بيشتر ابزارهاي تحليل رونوشت حافظه از جملهVolatility قادر به شناسايي سيستم عامل رونوشت حافظه هستند.دستور ImageInfo اطلاعات پایه ای درباره ی رو نوشت حافظه می دهد. یکی از اطلاعات با ارزش این دستور پروفایل پیشنهادی است که برای اجرای صحیح سایر دستورات باید به عنوان پارامتر به آن پاس شود.