Volatility — это популярный инструмент для анализа дампов памяти, используемый в компьютерной криминалистике. Программа позволяет исследовать состояние памяти, выявлять процессы, сетевые соединения, запущенные службы, модули ядра и многое другое. Volatility используется специалистами для анализа инцидентов, изучения вредоносных программ и поиска следов вредоносной активности в оперативной памяти.
Мы рассказывали про Volatility во многих наших статьях. В статье как установить Volatility мы рассказывали про установку на Kali Linux, а в статье плагины Volatility 3 про популярные плагины.
Новая версия Volatility 3
Недавно вышла новая версия Volatility 3 (2.8.0), в которой добавлено несколько новых плагинов, улучшены существующие модули и внесены важные исправления. Вот что нового предлагает эта версия.
Новые плагины Volatility 3:
- vmscan — анализ страниц памяти виртуальных машин.
- linux.netfilter — анализ сетевых фильтров и правил в Linux.
- windows.hollowprocesses — выявление процессов, замаскированных с помощью техники Process Hollowing.
- windows.kpcrs — исследование данных ядра Windows (Kernel Processor Control Regions).
- windows.pedump — анализ и извлечение информации из PE-файлов (исполняемых файлов Windows).
- windows.processghosting — обнаружение процессов, скрытых с помощью техники Process Ghosting.
- windows.psxview — расширенный обзор процессов в системе с выявлением скрытых процессов.
- windows.registry.getcellroutine — исследование реестра Windows на уровне ячеек.
- windows.shimcachemem — анализ кеша шима (программных совместимостей) в оперативной памяти.
- windows.suspicious_threads — обнаружение подозрительных потоков в системе.
- windows.svcdiff — сравнение списка служб для выявления подозрительных изменений.
- windows.svclist — анализ и отображение запущенных служб в системе.
- windows.threads — подробный анализ потоков в Windows.
- windows.timers — анализ системных таймеров в Windows.
- windows.unloadedmodules — исследование выгруженных модулей.
Улучшения Volatility 3:
- Поддержка timeliner для плагина userassist, что позволяет отслеживать активность пользователя во времени.
- Исправления ошибок и улучшения в windows.modules и windows.modscan.
- Плагин windows.callbacks теперь поддерживает больше типов обратных вызовов.
- Защита от смазывания данных в плагинах Windows, что повышает точность анализа.
- Улучшена очистка кеша для ускорения работы программы.
- Обновлён уровень поддержки для процессоров Intel.
- Компилятор Clang больше не использует long unsigned int для указателей, что повышает стабильность и совместимость.
- Добавлена поддержка argcomplete, что облегчает автозаполнение аргументов при работе с командной строкой.
Требования к Python
Начиная с версии 2.8.0, Volatility 3 требует установленную версию Python не ниже 3.7.3. Это связано с тем, что новая версия программы использует функции языка, которые не поддерживаются в старых версиях Python.
Эти обновления значительно расширяют функционал Volatility и делают его еще более удобным и мощным инструментом для анализа памяти.
ПОЛЕЗНЫЕ ССЫЛКИ: