Volatility
Volatility | |
---|---|
Versão estável | 2.6 (30 de dezembro de 2016 | )
Escrito em | Python |
Sistema operacional | Windows, Mac OS X, Linux |
Gênero(s) | Forense digital |
Licença | GNU General Public License |
Página oficial | www |
Volatility é uma estrutura forense de memória de código aberto para resposta a incidentes e análise de malware. Está escrito em Python e suporta Microsoft Windows, Mac OS X e Linux (a partir da versão 2.5[1]).
Volatility foi criada pelo cientista da computação e empresário Aaron Walters, com base em pesquisas acadêmicas que ele fez em memória forense.[2][3]
Sistemas Operacionais Suportados[editar | editar código-fonte]
O Volatility suporta investigações das seguintes imagens de memória:
Windows:
- Windows XP 32 bits (Service Pack 2 e 3)
- Windows 2003 Server 32 bits (Service Pack 0, 1, 2)
- Windows Vista 32 bits (Service Pack 0, 1, 2)
- Windows 2008 Server 32 bits (Service Pack 1, 2)
- Windows 7 32 bits (Service Pack 0, 1)
- Windows 8, 8.1, e 8.1 Update 1 32 bits
- Windows 10 32 bits (suporte inicial)
- Windows XP 64 bits (Service Pack 1 e 2)
- Windows 2003 Server 64 bits (Service Pack 1 e 2)
- Windows Vista 64 bits (Service Pack 0, 1, 2)
- Windows 2008 Server 64 bits (Service Pack 1 e 2)
- Windows 2008 R2 Server 64 bits (Service Pack 0 e 1)
- Windows 7 64 bits (Service Pack 0 2 1)
- Windows 8, 8.1, 2 8.1 Update 1 64 bits
- Windows Server 2012 e 2012 R2 64 bits
- Windows 10 64 bits (incluindo pelo menos 10.0.14393)
- Windows Server 2016 64 bits (incluindo pelo menos 10.0.14393.0)
Mac OSX:
- 10.5.x Leopard 32 bits (o único 64 bits 10.5 é o Server, que não é suportado)
- 10.6.x Snow Leopard 32 bits
- 10.7.x Lion 32 bits
- 10.6.x Snow Leopard 64 bits
- 10.7.x Lion 64 bits
- 10.8.x Mountain Lion 64 bits
- 10.9.x Mavericks 64 bits
- 10.10.x Yosemite 64 bits
- 10.11.x El Capitan 64 bits
- 10.12.x Sierra 64 bits
Linux:
- Linux kernels 2.6.11 a 4.2.3 32 bits
- Linux kernels 2.6.11 a 4.2.3 64 bits
- OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc.
Formatos de Memória Suportados[editar | editar código-fonte]
- Raw/Padded Physical Memory
- Firewire (IEEE 1394)
- Expert Witness (EWF)
- Despejo de Falha (Crash Dump) do Windows de 32 e 64 bits
- Hibernação do Windows de 32 e 64 bits (a partir do Windows 7 ou anterior)
- Arquivos Mach-O de 32 e 64 bits
- Despejos de Núcleo (Core Dumps) do Virtualbox
- Saved State (.vmss) e Snapshot (.vmsn) do VMware
- Formato HPAK (FastDump)
- Despejos de memória do QEMU
- Formato LiME
Referências
- ↑ http://www.volatilityfoundation.org/#!25/c1f29
- ↑ Petroni, N. L., Walters, A., Fraser, T., & Arbaugh, W. A. (2006). FATKit: A framework for the extraction and analysis of digital forensic data from volatile system memory. Digital Investigation, 3(4), 197-210.
- ↑ Walters, A., & Petroni, N. L. (2007). Volatools: Integrating Volatile Memory into the Digital Investigation Process. Black Hat Briefings DC 2007, 1-18.