HackMD - Collaborative Markdown Knowledge Base

## 13. Volatility Framework ### Применение и установка утилиты ### Введение Volatility - это фреймворк с полностью открытым кодом, предоставляющий собой набор Python-инструментов для извлечения цифровых артефактов из энергонезависимой памяти (RAM). Это может пригодиться при расследовании инцидентов или просто при исследовании работы программы с критичными данными (например, с номерами платежных карт). На сегодняшний день программа поддерживает следующие платформы: Linux, Windows, OS X. Список того что может извлечь Volatility: * дату и время; * список запущенных процессов; * список открытых сетевых сокетов; * список открытых сетевых соединений; * список загруженных DLL для каждого процесса; * имена открытых файлов для каждого процесса; * адресуемую память; * модули ядра ОС; * маппинг физических смещений на виртуальные адреса и многое другое. ### Установка 1. Шаг 1. Необходимо проверить, что все системные пакеты обновлены. Для этого в терминале необходимо выполнить следующие команды: ``` sudo apt update sudo apt upgrade sudo apt install git ``` Рис. 1. Обновление ![](https://i.imgur.com/TAiExMM.png) Рис. 2. Обновление ![](https://i.imgur.com/i83Bfij.png) Рис. 3. Обновление ![](https://i.imgur.com/k1UQoIW.png) 2. Шаг 2. Установка Python. ``` sudo apt install python2.7 python3-pip python-setuptools build-essential python-dev-is-python2 ``` Рис 4. Установленный пакет Python ![](https://i.imgur.com/pYAI3q5.png) 3. Шаг 3. Установка Distorm. Затем используем модули pip для установки Distorm 3: ``` sudo pip install distorm3==3.4.4 ``` Рис 5. Установленная библиотека ![](https://i.imgur.com/xDIRKwp.png) 4. Шаг 4. Установка Volatility на Ubuntu. Для установки можно просто клонировать репозиторий Git Volatility: ``` git clone https://github.com/volatilityfoundation/volatility.git ``` Рис. 6. Клонирование репозитория ![](https://i.imgur.com/TFIeVpX.png) Делаем только что склонированный файл исполняемым: ``` chmod +x volatility/vol.py ``` Затем перемещаем volatility в каталог и создеам символическую ссылку, чтобы сделать его глобально доступным:/qwe: ``` sudo mv volatility /qwe sudo ln –s /qwe/volatility/vol.py /usr/bin/vol.py ``` 5. Шаг 5. Проверяем volatility. Наконец, проверяем, что Volatility работает. Не должны быть получены никакие ошибки: ``` vol.py --info ``` Рис. 7. Результат установки. ![](https://i.imgur.com/tJLhWIg.png) Рис. 8. Результат установки ![](https://i.imgur.com/h8ablo0.png) Поздравляю! Вы успешно установили Volatility. ### Ресурсы для решения возможных проблем Для получения дополнительной помощи или полезной информации можно обратиться к официальному сайту [Volatility](https://github.com/volatilityfoundation/volatility) . Решение проблем с установкой некоторых пакетов [Crypto.Hash](https://github.com/volatilityfoundation/volatility/issues/771)