Обзор новой версии Volatility 3 — инструмента для анализа дампа памяти

Volatility

Volatility — это популярный инструмент для анализа дампов памяти, используемый в компьютерной криминалистике. Программа позволяет исследовать состояние памяти, выявлять процессы, сетевые соединения, запущенные службы, модули ядра и многое другое. Volatility используется специалистами для анализа инцидентов, изучения вредоносных программ и поиска следов вредоносной активности в оперативной памяти.

Мы рассказывали про Volatility во многих наших статьях. В статье как установить Volatility мы рассказывали про установку на Kali Linux, а в статье плагины Volatility 3 про популярные плагины.

Новая версия Volatility 3

Недавно вышла новая версия Volatility 3 (2.8.0), в которой добавлено несколько новых плагинов, улучшены существующие модули и внесены важные исправления. Вот что нового предлагает эта версия.

Новые плагины Volatility 3:

  • vmscan — анализ страниц памяти виртуальных машин.
  • linux.netfilter — анализ сетевых фильтров и правил в Linux.
  • windows.hollowprocesses — выявление процессов, замаскированных с помощью техники Process Hollowing.
  • windows.kpcrs — исследование данных ядра Windows (Kernel Processor Control Regions).
  • windows.pedump — анализ и извлечение информации из PE-файлов (исполняемых файлов Windows).
  • windows.processghosting — обнаружение процессов, скрытых с помощью техники Process Ghosting.
  • windows.psxview — расширенный обзор процессов в системе с выявлением скрытых процессов.
  • windows.registry.getcellroutine — исследование реестра Windows на уровне ячеек.
  • windows.shimcachemem — анализ кеша шима (программных совместимостей) в оперативной памяти.
  • windows.suspicious_threads — обнаружение подозрительных потоков в системе.
  • windows.svcdiff — сравнение списка служб для выявления подозрительных изменений.
  • windows.svclist — анализ и отображение запущенных служб в системе.
  • windows.threads — подробный анализ потоков в Windows.
  • windows.timers — анализ системных таймеров в Windows.
  • windows.unloadedmodules — исследование выгруженных модулей.

Улучшения Volatility 3:

  • Поддержка timeliner для плагина userassist, что позволяет отслеживать активность пользователя во времени.
  • Исправления ошибок и улучшения в windows.modules и windows.modscan.
  • Плагин windows.callbacks теперь поддерживает больше типов обратных вызовов.
  • Защита от смазывания данных в плагинах Windows, что повышает точность анализа.
  • Улучшена очистка кеша для ускорения работы программы.
  • Обновлён уровень поддержки для процессоров Intel.
  • Компилятор Clang больше не использует long unsigned int для указателей, что повышает стабильность и совместимость.
  • Добавлена поддержка argcomplete, что облегчает автозаполнение аргументов при работе с командной строкой.

Требования к Python

Начиная с версии 2.8.0, Volatility 3 требует установленную версию Python не ниже 3.7.3. Это связано с тем, что новая версия программы использует функции языка, которые не поддерживаются в старых версиях Python.

Эти обновления значительно расширяют функционал Volatility и делают его еще более удобным и мощным инструментом для анализа памяти.

ПОЛЕЗНЫЕ ССЫЛКИ:

Falcon

Я не ломаю системы, я их закаляю и пишу статьи на спайсофте с 2011. Новые статьи в Телеграме.

Добавить комментарий