内存取证工具Volatility Framework
作者 神探
Email 904788895@qq.com
学校 重庆邮电大学
2012年 12 月 21 日
第 1 页
摘要
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文主要介绍内存取证工具Volatility Framework的简单使用与分析。全文主要包括三个部分。第一部分简单介绍内存取证问题产生的背景。第二部分简单介绍如何进行内存取证环境的搭建工作。第三部分重点介绍Volatility工具的一些取证分析实例,主要的例子有查看内存基本信息、查看内存中进程和动态链接库信息、查看内存中注册表信息等。
【关键字】内存取证,命令,Volatility Framework
第 2 页
1问题背景
在互联网产业高度发达的21世纪,互联网在给我们带来大量信息,提供大量机会的同时,信息安全也正面临着日益严峻的考验,随之而来的信息安全问题也日益突出。为了牟取非法利益,各种计算机犯罪活动层出不穷,比如窃取与破坏商业机密、攻击和破坏政府或金融网站、网络传销与诈骗等等。为了有效的打击这类与信息安全相关的犯罪活动,必须对如何打击计算机犯罪进行深入研究,而在案件侦破过程中,如何获取犯罪分子在作案过程中遗留的电子证据成为了当前研究的热点问题。
计算机取证技术是信息安全领域的一个重要分支,它是计算机与法学的一门交叉学科,正在受到科研机构和司法部门的重视。计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。2012年通过的新刑事诉讼法正式将“电子数据”规定为法定证据种类之一,电子证据将在案件侦破过程中扮演更加重要的角色。
计算机取证主要包括两个阶段:物理证据获取和信息发现。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的易失性数据,这些易失性数据的特点是存在于正在运行的计算机或网络设备的内存中,关机或重启后这些数据将不再存在。Volatility Framework是最知名的内存取证工具之一,下面我们就主要来介绍该款取证工具的主要功能及其使用方法。
2内存取证环境的搭建
2.1 Volatility简介
Volatility是一款基于GNU协议的开源框架,使用Python语言编写而成的内存取证工具集,可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM(随机存储器)数据进行提取与分析。
当前的Volatility Framework的最高版本为发布于2012年10月8号的Volatility 3.0,但目前这还只是一个技术预览版,主要用于用户的讨论和测试。本文使用的是发布于2012年10
第 3 页