GNU/Linux >> Belajar Linux >  >> Linux

Lakukan forensik memori Linux dengan alat sumber terbuka ini

Sistem operasi dan aplikasi komputer menggunakan memori utama (atau RAM) untuk melakukan berbagai tugas. Memori yang mudah menguap ini, yang berisi banyak informasi tentang aplikasi yang sedang berjalan, koneksi jaringan, modul kernel, file yang terbuka, dan hampir semua hal lainnya akan dihapus setiap kali komputer dihidupkan ulang.

Lebih banyak sumber daya Linux

  • Lembar contekan perintah Linux
  • Lembar contekan perintah Linux tingkat lanjut
  • Kursus online gratis:Ikhtisar Teknis RHEL
  • Lembar contekan jaringan Linux
  • Lembar contekan SELinux
  • Lembar contekan perintah umum Linux
  • Apa itu container Linux?
  • Artikel Linux terbaru kami

Forensik memori adalah cara untuk menemukan dan mengekstrak informasi berharga ini dari memori. Volatilitas adalah alat open source yang menggunakan plugin untuk memproses jenis informasi ini. Namun, ada masalah:Sebelum Anda dapat memproses informasi ini, Anda harus membuang memori fisik ke dalam file, dan Volatilitas tidak memiliki kemampuan ini.

Oleh karena itu, artikel ini memiliki dua bagian:

  • Bagian pertama berkaitan dengan memperoleh memori fisik dan membuangnya ke dalam file.
  • Bagian kedua menggunakan Volatilitas untuk membaca dan memproses informasi dari dump memori ini.

Saya menggunakan sistem pengujian berikut untuk tutorial ini, tetapi ini akan berfungsi pada semua distribusi Linux:

$ cat /etc/redhat-release 
Red Hat Enterprise Linux rilis 8.3 (Ootpa)
$ 
$ uname -r
4.18.0-240.el8.x86_64 
$

Catatan peringatan: Bagian 1 melibatkan kompilasi dan pemuatan modul kernel. Jangan khawatir; itu tidak sesulit kedengarannya. Beberapa pedoman:

  • Ikuti langkah-langkahnya.
  • Jangan mencoba langkah-langkah ini pada sistem produksi atau mesin utama Anda.
  • Selalu gunakan mesin virtual (VM) uji untuk mencoba berbagai hal hingga Anda merasa nyaman menggunakan alat dan memahami cara kerjanya.

Instal paket yang diperlukan

Sebelum Anda memulai, instal alat yang diperlukan. Jika Anda menggunakan distro berbasis Debian, gunakan yang setara dengan apt-get perintah. Sebagian besar paket ini menyediakan informasi kernel dan alat yang diperlukan untuk mengkompilasi kode:

$ yum install kernel-headers kernel-devel gcc elfutils-libelf-devel make git libdwarf-tools python2-devel.x86_64-y

Bagian 1:Gunakan LiME untuk memperoleh memori dan membuangnya ke file

Sebelum Anda dapat mulai menganalisis memori, Anda memerlukan dump memori yang Anda inginkan. Dalam peristiwa forensik yang sebenarnya, ini bisa berasal dari sistem yang disusupi atau diretas. Informasi tersebut sering dikumpulkan dan disimpan untuk menganalisis bagaimana intrusi terjadi dan dampaknya. Karena Anda mungkin tidak memiliki dump memori yang tersedia, Anda dapat mengambil dump memori dari VM pengujian Anda dan menggunakannya untuk melakukan forensik memori.

Linux Memory Extractor (LiME) adalah alat yang populer untuk memperoleh memori pada sistem Linux. Dapatkan LiME dengan:

$ git clone https://github.com/504ensicsLabs/LiME.git
$
$ cd LiME/src/
$ 
$ ls
deflate .c  disk.c  hash.c  lime.h  main.c  Makefile  Makefile.sample  tcp.c
$

Membangun modul kernel LiME

Jalankan make perintah di dalam src map. Ini membuat modul kernel dengan ekstensi .ko. Idealnya, lime.ko file akan diganti namanya menggunakan format lime-<your-kernel-version>.ko di akhir make :

$ make
make -C /lib/modules/4.18.0-240.el8.x86_64/build M="/root/LiME/src" modules
make[1]:Memasuki direktori '/usr/src/kernels/4.18.0-240.el8.x86_64'

<
>

make[1]:Meninggalkan direktori '/usr/ src/kernels/4.18.0-240.el8.x86_64'
strip --strip-unneeded lime.ko
mv lime.ko lime-4.18.0-240.el8.x86_64.ko
$ 
$ 
$ ls -l lime-4.18.0-240.el8.x86_64.ko
-rw-r--r--. 1 root root 25696 Apr 17 14:45 lime-4.18.0-240.el8.x86_64.ko
$ 
$ file lime-4.18.0-240.el8.x86_64.ko
 lime-4.18.0-240.el8.x86_64.ko:ELF 64-bit LSB relocatable, x86-64, versi 1 (SYSV), BuildID[sha1]=1d0b5cf932389000d960a7e6b57c428b8e46c9cf, tidak dilucuti
$

Muat modul kernel LiME

Sekarang saatnya memuat modul kernel untuk memperoleh memori sistem. insmod perintah membantu memuat modul kernel; setelah dimuat, modul membaca memori utama (RAM) pada sistem Anda dan membuang konten memori ke file yang disediakan di path direktori pada baris perintah. Parameter penting lainnya adalah format; pertahankan format lime , seperti yang ditunjukkan di bawah ini. Setelah memasukkan modul kernel, verifikasi bahwa modul tersebut dimuat menggunakan lsmod perintah:

$ lsmod  | grep kapur
$ 
$ insmod ./lime-4.18.0-240.el8.x86_64.ko "path=../RHEL8.3_64bit.mem format=lime"
$ 
$ lsmod  | grep jeruk nipis
jeruk nipis                   16384  0
$

Anda akan melihat bahwa file yang diberikan ke path perintah telah dibuat, dan ukuran file (tidak mengherankan) sama dengan ukuran memori fisik (RAM) pada sistem Anda. Setelah Anda memiliki dump memori, Anda dapat menghapus modul kernel menggunakan rmmod perintah:

$ 
$ ls -l ~/LiME/RHEL8.3_64bit.mem
-r--r--r--. 1 root root 4294544480 Apr 17 14:47 /root/LiME/RHEL8.3_64bit.mem
$ 
$ du -sh ~/LiME/RHEL8.3_64bit.mem
4.0G    /root/ Kapur / rhel8.3_64bit.mem 
 $ 
 $ gratis -m 
 Total buff buff / cache gratis yang digunakan 
 MEM:3736 220 366 8 3149 3259 <3149 3259 <3149 3259 <3149 3259 <3149 3259 <<:4059           8        4051
$ 
$ rmmod kapur
$ 
$ lsmod  | grep jeruk nipis
$

Apa yang ada di memori dump?

File dump ini hanyalah data mentah, seperti yang Anda lihat menggunakan file perintah di bawah ini. Anda tidak dapat memahaminya secara manual; ya, ada beberapa string ASCII di suatu tempat, tetapi Anda tidak dapat membuka file di editor dan membacanya. Keluaran hexdump menunjukkan bahwa beberapa byte awal adalah EmiL; ini karena format permintaan Anda adalah "kapur" pada perintah di atas:

$ file ~/LiME/RHEL8.3_64bit.mem
/root/LiME/RHEL8.3_64bit.mem:data
$ 


$ hexdump - C ~/LiME/RHEL8.3_64bit.mem | kepala
00000000  45 4d 69 4c 01 00 00 00  00 10 00 00 00 00 00 00  |EMiL............|
00000010  ff fb 09 00 00 00 00 00 00 00 00 00 00 00 00 00  |................|
00000020  b8 fe 4c cd 21 44 00 32  20 00 00 2a 2a 2a 2a 2a  |.. L.!D.2 ..*****|
00000030  2a 2a 2a 2a 2a 2a 2a 2a  2a 2a 2a 2a 2a 2a 2a 2a  |*************** **|
00000040  2a 2a 2a 2a 2a 2a 2a 2a  2a 2a 2a 2a 2a 20 00 20  |************* . |
00000050  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
00000080 00 00 00 00 00 00 00 00  00 00 00 00 70 78 65 6c  |............pxel|
00000090  69 6e 75 78 2e 30 00 00  00 00 00 00 00 00 00 00  |inux.0..........|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00  |........... .....|
$

Bagian 2:Dapatkan Volatilitas dan gunakan untuk menganalisis dump memori Anda

Sekarang setelah Anda memiliki contoh dump memori untuk dianalisis, dapatkan perangkat lunak Volatilitas dengan perintah di bawah ini. Volatilitas telah ditulis ulang dalam Python 3, tetapi tutorial ini menggunakan paket Volatilitas asli, yang menggunakan Python 2. Jika Anda ingin bereksperimen dengan Volatilitas 3, unduh dari repo Git yang sesuai dan gunakan Python 3 alih-alih Python 2 dalam perintah berikut :

$ git clone https://github.com/volatilityfoundation/volatility.git
$ 
$ cd volatilitas/
$ 
$ ls
AUTHORS.txt contrib      LEGAL.txt    Makefile     PKG-INFO     pyinstaller.spec  resources  tools       vol.py
CHANGELOG.txt  CREDITS.txt  LICENSE.txt  MANIFEST.in    pyinstaller>    pyinstaller> 

 Volatilitas menggunakan dua pustaka Python untuk beberapa fungsi, jadi silakan instal menggunakan perintah berikut. Jika tidak, Anda mungkin melihat beberapa kesalahan impor saat menjalankan alat Volatilitas; Anda dapat mengabaikannya kecuali Anda menjalankan plugin yang membutuhkan pustaka ini; dalam hal ini, alat akan error:
 
$ pip2 install pycrypto
$ pip2 install distorm3
 
Mencantumkan profil Linux Volatility
 

 Perintah Volatilitas pertama yang ingin Anda jalankan mencantumkan profil Linux apa yang tersedia. Titik masuk utama untuk menjalankan perintah Volatilitas adalah vol.py naskah. Panggil menggunakan juru bahasa Python 2 dan berikan --info pilihan. Untuk mempersempit output, cari string yang dimulai dengan Linux. Seperti yang Anda lihat, tidak banyak profil Linux yang terdaftar:
 
$ python2 vol.py --info  | grep ^Linux
Volatility Foundation Volatility Framework 2.6.1
LinuxAMD64PagedMemory          - Ruang alamat 64-bit AMD khusus Linux.
$
 
Buat profil Linux Anda sendiri
 

 Distro Linux bervariasi dan dibangun untuk berbagai arsitektur. Inilah mengapa profil sangat penting—Volatilitas harus mengetahui sistem dan arsitektur tempat dump memori diperoleh sebelum mengekstrak informasi. Ada perintah Volatilitas untuk menemukan informasi ini; Namun, metode ini memakan waktu. Untuk mempercepat, buat profil Linux khusus menggunakan perintah berikut.
 

 Pindah ke tools/linux direktori dalam repo Volatilitas, dan jalankan make perintah:
 
$ cd tools/linux/
$ 
$ pwd
/root/volatility/tools/linux
$ 
$ ls
kcore  Makefile  Makefile .enterprise  module.c
$ 
$ make
make -C //lib/modules/4.18.0-240.el8.x86_64/build CONFIG_DEBUG_INFO=y M="/root/volatilitas /tools/linux" modules
make[1]:Memasuki direktori '/usr/src/kernels/4.18.0-240.el8.x86_64'
<
>
make[ 1]:Meninggalkan direktori '/usr/src/kernels/4.18.0-240.el8.x86_64'
$
 

 Anda akan melihat module.dwarf baru mengajukan. Anda juga memerlukan System.map file dari /boot direktori, karena berisi semua simbol yang terkait dengan kernel yang sedang berjalan:
 
$ ls
kcore  Makefile  Makefile.enterprise  module.c  module.dwarf
$ 
$ ls -l module.dwarf 
-rw-r--r--. 1 root root 3987904 Apr 17 15:17 module.dwarf
$ 
$ ls -l /boot/System.map-4.18.0-240.el8.x86_64 
-rw--- ----. 1 root root 4032815 23 Sep  2020 /boot/System.map-4.18.0-240.el8.x86_64
$ 
$ 
 

 Untuk membuat profil khusus, kembali ke direktori Volatilitas dan jalankan perintah di bawah ini. Argumen pertama menyediakan .zip khusus dengan nama file pilihan Anda. Saya menggunakan sistem operasi dan versi kernel dalam nama. Argumen berikutnya adalah module.dwarf file yang dibuat di atas, dan argumen terakhir adalah System.map file dari /boot direktori:
 
$ 
$ cd volatilitas/
$ 
$ volatilitas zip/plugins/overlays/linux/Redhat8.3_4.18.0-240.zip tools/linux/module.dwarf /boot/ System.map-4.18.0-240.el8.x86_64 
  menambahkan:tools/linux/module.dwarf (kempis 91%)
  menambahkan:boot/System.map-4.18.0-240.el8 .x86_64 (kempis 79%)
$ 
 

 Profil kustom Anda sekarang sudah siap, jadi verifikasi file .zip telah dibuat di lokasi yang diberikan di atas. Jika Anda ingin tahu apakah Volatilitas mendeteksi profil khusus ini, jalankan --info perintah lagi. Kali ini, Anda akan melihat profil baru yang tercantum di bawah ini:
 
$ 
$ ls -l volatilitas/plugins/overlays/linux/Redhat8.3_4.18.0-240.zip
-rw-r--r--. 1 root root 1190360 Apr 17 15:20volatilitas/plugins/overlays/linux/Redhat8.3_4.18.0-240.zip
$ 
$ 
$ python2 vol.py --info  | grep Redhat
Volatility Foundation Volatility Framework 2.6.1
LinuxRedhat8_3_4_18_0-240x64 - Profil untuk Linux Redhat8.3_4.18.0-240 x64
$ 
$
 
Mulai gunakan Volatilitas
 

 Sekarang Anda siap untuk melakukan beberapa forensik memori yang sebenarnya. Ingat, Volatilitas terdiri dari plugin khusus yang dapat Anda jalankan terhadap dump memori untuk mendapatkan informasi. Format umum perintah adalah:
 
python2 vol.py -f <memory-dump-file-taken-by-Lime> <plugin-name> --profile=<name-of-our-custom-profile> 
 

 Berbekal informasi ini, jalankan linux_banner plugin untuk melihat apakah Anda dapat mengidentifikasi informasi distro yang benar dari dump memori:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_banner --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Kerangka Volatilitas 2.6.1
Linux versi 4.18.0-240. el8.x86_64 ([email protected]) (gcc versi 8.3.1 20191121 (Red Hat 8.3.1-5) (GCC)) #1 SMP Rab 23 Sep 05:13:10 EDT 2020
$ 
 
Temukan plugin Linux
 

 Itu bekerja dengan baik, jadi sekarang Anda mungkin penasaran tentang bagaimana menemukan semua nama dari semua plugin Linux. Ada trik mudah:jalankan --info perintah dan grep untuk linux_ rangkaian. Ada berbagai plugin yang tersedia untuk penggunaan yang berbeda. Berikut sebagian daftarnya:
 
$ python2 vol.py --info  | grep linux_
Volatility Foundation Volatility Framework 2.6.1
linux_apihooks             - Memeriksa apihooks userland
linux_arp                  - Mencetak tabel ARP
linux_aslr_shift 
<
>

linux_banner               - Mencetak informasi banner Linux
linux_vma_cache            - Kumpulkan VMA dari vm_area_struct cache
linux_volshell          linux_yarascan             - Shell dalam citra memori Linux
$
 

 Periksa proses mana yang berjalan pada sistem saat Anda mengambil dump memori menggunakan linux_psaux pengaya. Perhatikan perintah terakhir dalam daftar:ini adalah insmod perintah yang Anda jalankan sebelum dump:
 
 $ python2 vol.py -f ~ / lime / rhel8.3_64bit.mem linux_psaux --profile =linuxredhat8_3_4_18_0-240x64 
 volatilitas foundation volatility framework 2.6.1 
 PID UID GID argumen 
 1 0 0 / usr / lib / systemd / systemd --switched-root -system --deserialize 18 
 2 0 0 [kthreadd] 
 3 0 [RCU_GP] 
 4 0 0 [RCU_PAR_GP] 
 861 0 / uss / libexec / platform-python -es / usr / sbin / tunduk -p 
 869 0 0 / uss / rhsmcertd 
 875 0 0 /usr/libexec/sssd/sssd_be --domain implisit_files --uid 0 --gid 0 --logger=files
878    0      0      /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 -- logger=file       

 <<
> 
 
 11064 89 89 qmgr -l -t unix -u 
 227148 0 0 [KWorker / 0:0] 
 227298 0 0- Bash 
 227374 0 0 [KWorker / U2:1] 
 227375 0 0 [KWDAHER / 0:2] 
 227884 0 0 [KWDAHER / 0:3] 
 228573 0 0 insmod ./lime-4.18.0-240.el8.x86_64.ko path=../RHEL8.3_64bit.mem format=lime
228576 0      0                                              

 Ingin tahu tentang statistik jaringan sistem? Jalankan linux_netstat plugin untuk menemukan status koneksi jaringan selama dump memori:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_netstat --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1
UNIX 18113              systemdrun/    systemd/private
UNIX 11411              systemd/1     /run/systemd/notify
UNIX 11413              systemd/1     /run/systemd/cgroups-agent
UNIX >  15  systemd/1     
<
>
$
 

 Selanjutnya, gunakan linux_mount plugin untuk melihat sistem file mana yang dipasang selama dump memori:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_mount --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1
tmpfs                     /c       /c ro, nosuid, nodev, noexec 
 cgroup / sys / fs / cgroup / pid cgroup rw, relatime, nosuid, nodev, noexec 
 systemd-1 / proc / sys / fs / binfmt_miscs RW, Relatime 
 sunrpc / var / lib / nfs / rpc_pipefs rpc_pipefs rw, relatime 
 / mapper / rhel_kvm - 03 - Guest11-root / xfs rw, relatime 
 tmpfs / dev / shm tmpfs ,nosuid,nodev                         
selinuxfs                 /sys/fs/selinux                 selinuxfs           
<
>

cgroup                    /sys/fs/cgroup/net_cls,net_prio     cgroup       rw,relatime,nosuid,nodev,noexec    >     /  >   grup cpu, cguacct cgroup rw, relatime, nosuid, nodev, noexec 
 bpf / sys / fs / bpf bpf rw, relatime, nosuid, nodev, noexec 
 cgroup / sys / cgroup / cgroup / cgroup / cgroup Relatime, nosuid, nodev, noexec 
 cgroup / sys / cgroup / cguset cgroup rw, relatime, nosuid, nodev, noexec 
 mqueue / dev / mqueue mqueue rw, relatime 
 $ 
 pra> 

 Penasaran modul kernel apa yang dimuat? Volatilitas memiliki plugin untuk itu juga, dengan tepat bernama linux_lsmod :
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_lsmod --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Kerangka Volatilitas 2.6.1
ffffffffc0535040 lime 20480
ffffffffc0530540 binfmt_misc 20480
ffffffffc05e8040 sunrpc 479232
<
>
ffffffffc04f9540 nfit 65536
ffffffffc0266280 dm_mirror 28672
ffffffffc025
sh 20ff480ff_ha dm_wilayah ffffffffc024bbc0 dm_mod 151552
$
 

 Ingin menemukan semua perintah yang dijalankan pengguna yang disimpan dalam riwayat Bash? Jalankan linux_bash pengaya:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_bash --profile=LinuxRedhat8_3_4_18_0-240x64 -v
Volatility Foundation Kerangka Volatilitas 2.6.1
Pid      Nama           Waktu <       br />-------------------------------------------------------------------------- ----------- -------
  227221 bash                 2021-04-17 18:38:24 UTC+0000   lsmod 
  227221 bash                 2021-04-17 18 :38:24 UTC+0000   rm -f .log
  227221 bash                 2021-04-17 18:38:24 UTC+0000   ls -l /etc/zzz 
  227221 bash                 2021-04-17 :38:24 UTC+0000   cat ~/.vimrc 
  227221 bash                 2021-04-17 18:38:24 UTC+0000   ls
  227221 bash                 2021-04-17+ 18:38:24 UTC 0000   cat /proc/817/cwd
  227221 bash                 2021-04-17 18:38:24 UTC+0000   ls -l /proc/817/cwd
  227221 bash                 2021-04-17 :24 UTC+0000   ls /proc/817/
<
>
  227298 bash                 2021-04-17 18 :40:30 UTC+0000   gcc prt.c 
  227298 bash                 2021-04-17 18:40:30 UTC+0000   ls
  227298 bash                 2021-04-17 18:40:30 UTC ./a.out 
  227298 bash                 2021-04-17 18:40:30 UTC+0000   vim prt.c
  227298 bash                 2021-04-17 18:40:30 UTC+0000.   gcc c 
  227298 bash                 2021-04-17 18:40:30 UTC+0000   ./a.out 
  227298 bash                 2021-04-17 18:40:30 UTC+0000   ls
$ 
 

 Ingin tahu file apa yang dibuka oleh proses apa? Gunakan linux_lsof plugin untuk mencantumkan informasi itu:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_lsof --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Kerangka Volatilitas 2.6.1
Offset             Nama                >------------------- ------------------------------ - ------- -------- ---- 
 0xFFF9C83FB1E9F40 RSYSLogd 71194 0 / null / null 2 / dev / null 
 0xfff9c83fb1e9f40 rsyslogd 71194 3 / dev / uandom / uandom 71194        6 anon_inode:[9063]
0xffff9c83fb1e9f40 rsyslogd                          71194        7 /var/log/sec Ure 
 
 <
> 
 
 0xfff9c8365761F40 insmod 228573 0 / dev / pts / 0 
 0xFFF9C8365761F40 insmod 228573 1 / dev / 0 
 0xffff9c8365761F40 insmod 228573 2 / dev / pts / 0 
 0xfff9c8365761F40 insmod 228573 3 /root/src/lime-4.18.0-240.KO 
 $  
Mengakses lokasi skrip plugin Linux
 

 Anda dapat memperoleh lebih banyak informasi dengan membaca dump memori dan memproses informasi tersebut. Jika Anda tahu Python dan ingin tahu bagaimana informasi ini diproses, buka direktori tempat semua plugin disimpan, pilih salah satu yang menarik minat Anda, dan lihat bagaimana Volatilitas mendapatkan informasi ini:
 
 $ ls volatilitas / plugins / linux / 
 apihooks.py kernel_opened_files.py malfind.py psaux.py 
 common.pyc kernel_openc psaux.pyc 
 danp.py cpuinfo.py keyboard_notifiers.py mount_cache.py psenv.py 
 afp.pyc cpuinfo.pyc keyboard_notifiers.pyc psenv.pyc 
 aslr_shift.py ld_env.py mount.py pslist_cache.py 
 aslr_shift.pyc dentry_cache.pyc ld_env.pyc mount.pyc pslist_cache.pyc 
 <
> 
 check_syscall_arm.py lsmod.py proc_maps.py _protty_check.py
check_syscall_arm.pyc    __init__.pyc         lsmod.pyc                proc_maps.pyc       tty_check.pyc
check_sy    py . aps_rb.py     vma_cache.py
check_syscall.pyc        iomem.pyc            lsof.pyc                 proc_maps_rb.pyc    >vma<_cache.pyc 

 Salah satu alasan saya menyukai Volatilitas adalah karena ia menyediakan banyak plugin keamanan. Informasi ini akan sulit diperoleh secara manual:
 
linux_hidden_modules       - Mengukir memori untuk menemukan modul kernel tersembunyi
linux_malfind              - Mencari pemetaan proses yang mencurigakan
linux_truecrypt_passphrase - Memulihkan frasa sandi Truecrypt yang di-cache
 

 Volatilitas juga memungkinkan Anda untuk membuka shell di dalam dump memori, jadi alih-alih menjalankan semua perintah di atas, Anda dapat menjalankan perintah shell sebagai gantinya dan mendapatkan informasi yang sama:
 
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_volshell --profile=LinuxRedhat8_3_4_18_0-240x64 -v
Volatility Foundation Volatility Framework 2.6.1
Konteks saat ini:process systemd, pid=1 DTB=0x1042dc000
Selamat datang di volshell! Gambar memori saat ini adalah:
file:///root/LiME/RHEL8.3_64bit.mem
Untuk mendapatkan bantuan, ketik 'hh()'
>>> 
>>> sc()
Konteks saat ini:proses systemd, pid=1 DTB=0x1042dc000
>>> 
 
Langkah selanjutnya
 

 Forensik memori adalah cara yang baik untuk mempelajari lebih lanjut tentang internal Linux. Coba semua plugin Volatilitas dan pelajari hasilnya secara mendetail. Kemudian pikirkan tentang cara informasi ini dapat membantu Anda mengidentifikasi gangguan atau masalah keamanan. Selami cara kerja plugin, dan bahkan mungkin mencoba memperbaikinya. Dan jika Anda tidak menemukan plugin untuk apa yang ingin Anda lakukan, tulis satu dan kirimkan ke Volatility agar orang lain juga dapat menggunakannya.
Linux

  1. Berbagi file sumber terbuka dengan alat Linux ini

  2. Periksa kemampuan binari ELF dengan alat sumber terbuka ini

  3. Kisah Linux saya:memecahkan hambatan bahasa dengan open source

  1. Pemetaan pikiran sumber terbuka dengan Draw.io

  2. Transfer file antara ponsel Anda dan Linux dengan alat sumber terbuka ini

  3. Pengusaha untuk meningkatkan perekrutan profesional TI dengan keterampilan open source

  1. Dapatkan statistik penggunaan memori dengan alat baris perintah Linux ini

  2. Akses iPhone Anda di Linux dengan alat sumber terbuka ini

  3. Simpan beberapa distro Linux di USB dengan alat sumber terbuka ini