memory-forensics

Umiejętność do zaawansowanej analizy forenzycznej pamięci operacyjnej. Nauczysz się pozyskiwać zrzuty RAM z systemów Windows, Linux i macOS, a następnie ekstrahować z nich artefakty przy użyciu frameworka Volatility 3. Przydatna podczas śledztw incydentów bezpieczeństwa, analizy malware'u i badania procesów działających w pamięci. Obejmuje techniki akwizycji z maszyn fizycznych i wirtualnych, detekcję ukrytych procesów oraz ekstrakcję danych z pamięci.

1. Zainstaluj Volatility 3 za pomocą pip install volatility3, a następnie pobierz tabele symboli dla systemu Windows ze strony https://downloads.volatilityfoundation.org/volatility3/symbols/ i umieść je w dostępnym katalogu.

2. Pozyskaj zrzut pamięci RAM z systemu, którego chcesz analizować. Na Windows użyj WinPmem (winpmem_mini_x64.exe memory.raw), na Linux załaduj moduł LiME (sudo insmod lime.ko "path=/tmp/memory.lime format=lime"), a na macOS uruchom osxpmem (sudo ./osxpmem -o memory.raw). W przypadku maszyn wirtualnych skopiuj plik .vmem (VMware) lub użyj vboxmanage debugvm dla VirtualBox.

3. Uruchom analizę listy procesów poleceniem vol -f memory.raw windows.pslist, aby zobaczyć wszystkie procesy działające w momencie pozyskania zrzutu. To podstawowy krok każdego śledztwa.

4. Zbadaj hierarchię procesów za pomocą vol -f memory.raw windows.pstree, aby zrozumieć relacje rodzic-dziecko między procesami i zidentyfikować podejrzane łańcuchy uruchamiania.

5. Wyszukaj ukryte procesy, które mogą być pominięte przez standardowe listy, używając vol -f memory.raw windows.psscan. To polecenie skanuje pamięć w poszukiwaniu struktur procesów, nawet jeśli zostały usunięte ze standardowych list.

6. W razie potrzeby wykonaj zrzut pamięci konkretnego procesu do pliku w celu dalszej analizy lub wyodrębnienia złośliwego kodu.