Bei Volatility handelt es sich um eines der beliebtesten Frameworks für Speicherforensik, mit dem Sie digitale Daten aus flüchtigem Speicher (RAM) extrahieren können. Es eignet sich für die meisten 64- und 32-Bit-Varianten von Windows, ausgewählten Linux-Distributionen inklusive Android.
Mit Volatility können Speicher-Dumbs in verschiedenen Formen verarbeitet werden – es können Abbilder im RAW-Format, Crash-Dumps, Hibernation-Dateien oder VM-Snapshots sein. Sie erhalten einen genauen Einblick in den Laufzeitstatus der Maschine. Das kann unabhängig von der Untersuchung des Hosts erfolgen.
Beachten Sie, dass entschlüsselte Dateien und Kennwörter im RAM gespeichert werden. Wenn sie verfügbar sind, ist es möglicherweise einfacher, nach Dateien zu suchen, die auf der Festplatte verschlüsselt sind. Die Gesamtdauer der Untersuchung kann dadurch erheblich verkürzt werden.
Um das Programm zu starten, öffnen Sie das Terminal und geben folgende Befehle ein:
Nachdem Sie Volatility gestartet haben, bekommen Sie die verschiedenen Optionen für seine Verwendung angezeigt. Es gibt eine Vielzahl von Befehlen, die von Volatility ausgeführt werden können, um bestimmte im RAM befindliche Datentypen zu analysieren, darunter:
- SAM-Anmeldedaten (Kennwort-Hashes)
- lokale Systeminformationen
- die zum Zeitpunkt der Erstellung des Memory-Dumps ausgeführten Prozesse
- sowie kürzlich ausgeführte Konsolenbefehle innerhalb des Systems und
- Dienste, die zum Zeitpunkt der Erstellung des Memory Dumps ausgeführt werden
Mit python vol.py imageinfo -f memdump.mem können Sie die Basisdaten über die Maschine, auf der der Memory-Dump ausgeführt wurde, in Erfahrung bringen.
Dieser Artikel ist ein Auszug aus dem Buch „Einstieg in Kali Linux“ von Jürgen Ebner. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.