Digital Forensics:volatility-workbench
สำหรับ คนที่เคยใช้ volatility วิเคราะห์ memory มาก่อน แอดมินขอแนะนำเครื่องมืออีกตัวที่ใช้งานง่าย ไม่ต้องใช้ Command line เพราะเป็น (Graphical User Interface, GUI) ลดปัญหาพิมพ์คำสังผิด เครื่องมือนี้ชื่อว่า volatility-workbench จาก PassMark Software พัฒนาจาก Volatility นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ
Installation Instructions
โปรแกรมเป็น Portable โดยไม่ต้องติดตั้งโปรแกรม ทำการ Download the Zip file และ Unzip double click Volatilit Workbench.exe ก็ทำงานได้เลยRequirements
รองรับ Windows 10, or Windows 71. ให้ทำการ Browse Image (memory ที่เรา Dump มาเตรีัยมไว้
Sample Memory Dumps
Windows (Windows 10 64bit): Windows-10-Dump (1.6GB)
Mac (Maverick 10.9.3 64bit): Mac-10-9-3-Dump (930MB)
Linux (Ubuntu 16.04 64bit): Linux-16-04-Dump (256MB)
2. เลือก Profile ของ OS ให้ตรงกับ Memory ที่เรา Dump ในตัวอย่าเราใช้ windows XP32bit service pack 3
3. ทำการเลือก Command คำสั่งที่ต้องการใช้งาน
ตัวอย่างการใช้คำสั่ง Pslist เป็นคำสั่งในการดู Process id และชื่อ โปรแกรมที่ทำงานอยู่
ตัวอย่างการใช้คำสั่ง Pslist เป็นคำสั่งในการดูเฉพาะที่เราสนใจ Process id เลขที่ 2980 และชื่อ โปรแกรมที่ทำงานอยู่ FTKImager.exe
คำสั่ง Command Info เป็นคำอธิบายว่าคำสั่งใช้ทำอะไร
สามารถ บันทึก Log ออกมาเป็น .txt ได้
แสดงรายงานที่บันทึกลง เป็น ไฟลฺ์ txt
หมายเหตุ: บางคำสั่งอาจใช้ไม่ได้ กับบาง OS
ที่มา:
- https://bit.ly/2w9EUGO
- Memory Forensics 101
No comments:
Post a Comment