Digital Forensics: volatility-workbench

Digital Forensics:volatility-workbench

 สำหรับ คนที่เคยใช้  volatility  วิเคราะห์ memory มาก่อน แอดมินขอแนะนำเครื่องมืออีกตัวที่ใช้งานง่าย ไม่ต้องใช้ Command line เพราะเป็น  (Graphical User Interface, GUI) ลดปัญหาพิมพ์คำสังผิด เครื่องมือนี้ชื่อว่า volatility-workbench  จาก PassMark Software  พัฒนาจาก Volatility  นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ

Installation Instructions

  โปรแกรมเป็น Portable โดยไม่ต้องติดตั้งโปรแกรม  ทำการ Download the Zip file และ Unzip  double click  Volatilit Workbench.exe  ก็ทำงานได้เลย

  

Requirements

รองรับ Windows 10, or Windows 7


1. ให้ทำการ Browse Image (memory ที่เรา Dump มาเตรีัยมไว้

Sample Memory Dumps

     Windows (Windows 10 64bit): Windows-10-Dump (1.6GB)

     Mac (Maverick 10.9.3 64bit): Mac-10-9-3-Dump (930MB)

     Linux (Ubuntu 16.04 64bit): Linux-16-04-Dump (256MB)

2. เลือก Profile ของ OS ให้ตรงกับ Memory ที่เรา Dump   ในตัวอย่าเราใช้ windows XP32bit service pack 3

3. ทำการเลือก Command คำสั่งที่ต้องการใช้งาน

ตัวอย่างการใช้คำสั่ง Pslist  เป็นคำสั่งในการดู Process id   และชื่อ โปรแกรมที่ทำงานอยู่  

 ตัวอย่างการใช้คำสั่ง Pslist  เป็นคำสั่งในการดูเฉพาะที่เราสนใจ  Process id  เลขที่ 2980 และชื่อ โปรแกรมที่ทำงานอยู่  FTKImager.exe

 คำสั่ง Command Info เป็นคำอธิบายว่าคำสั่งใช้ทำอะไร

สามารถ บันทึก Log ออกมาเป็น .txt ได้

 แสดงรายงานที่บันทึกลง เป็น ไฟลฺ์ txt

 หมายเหตุ: บางคำสั่งอาจใช้ไม่ได้ กับบาง OS

  ที่มา: 

• https://bit.ly/2w9EUGO
• Memory Forensics 101 

#computerforensics
#digitalforensics
#digitalforensicsexaminer 

#dforensic.blogspot.com