返回
内存取证工具volatilityframework

内存取证工具volatilityframework

ID:28063336

大小:977.00 KB

页数:16页

时间:2018-12-07

内存取证工具volatilityframework_第1页
内存取证工具volatilityframework_第2页
内存取证工具volatilityframework_第3页
内存取证工具volatilityframework_第4页
内存取证工具volatilityframework_第5页
资源描述:

《内存取证工具volatilityframework》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、-内存取证工具VolatilityFramework作者神探Email904788895@qq.com学校重庆邮电大学2012年12月21日.---摘要计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文主要介绍内存取证工具VolatilityFramework的简单使用与分析。全文主要包括三个部分。第一部分简单介绍内存取证问题产生的背景。第二部分简单介绍如何进行内存

2、取证环境的搭建工作。第三部分重点介绍Volatility工具的一些取证分析实例,主要的例子有查看内存基本信息、查看内存中进程和动态链接库信息、查看内存中注册表信息等。【关键字】内存取证,命令,VolatilityFramework.---1问题背景在互联网产业高度发达的21世纪,互联网在给我们带来大量信息,提供大量机会的同时,信息安全也正面临着日益严峻的考验,随之而来的信息安全问题也日益突出。为了牟取非法利益,各种计算机犯罪活动层出不穷,比如窃取与破坏商业机密、攻击和破坏政府或金融网站、网络传销与诈骗等等。为了有效的打击

3、这类与信息安全相关的犯罪活动,必须对如何打击计算机犯罪进行深入研究,而在案件侦破过程中,如何获取犯罪分子在作案过程中遗留的电子证据成为了当前研究的热点问题。计算机取证技术是信息安全领域的一个重要分支,它是计算机与法学的一门交叉学科,正在受到科研机构和司法部门的重视。计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。2012年通过的新刑事诉讼法正式将“电子数据”规定为法定证据种类之一,电子证据将在案件侦破过程中扮演更加

4、重要的角色。计算机取证主要包括两个阶段:物理证据获取和信息发现。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的易失性数据,这些易失性数据的特点是存在于正在运行的计算机或网络设备的内存中,关机或重启后这些数据将不再存在。VolatilityFramework是最知名的内存取证工具之一,下面我们就主要来介绍该款取证工具的主要功能及其使用方法。2内存取证环境的搭建2.1Volatility简介Volatility是一款基于GNU协议的开源框架,使用Python语言编写而成的内存取证工具集

5、,可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM(随机存储器)数据进行提取与分析。当前的VolatilityFramework的最高版本为发布于2012年10月8号的Volatility3.0,但目前这还只是一个技术预览版,主要用于用户的讨论和测试。本文使用的是.---发布于2012年10月1号的最新可用版本Volatility2.2。Volatility2.2有多种格式的软件包,包括volatility-2.2.zip、volatil

6、ity-2.2.tar.gz、volatility-2.2.win32.exe和volatility-2.2.standalone.exe四种格式。volatility-2.2.zip和volatility-2.2.tar.gz是Volatility2.2工具源代码文件的zip压缩包和targz压缩包。volatility-2.2.win32.exe是安装Volatility到Python系统目录的安装程序。volatility-2.2.standalone.exe是使用PyInstaller(PyInstaller可以

7、将Python程序打包成Windows、Linux等操作系统下可执行的exe文件)编译完整的exe文件,内部包含有Python运行所需要的核心组件和Volatility模块.。2.2Volatility2.2安装对应与上文提到的Volatility2.2工具的多种格式,安装VolatilityFramework的方法主要有三种。第一,如果你使用的是单独的Windows可执行文件,无需其它任何安装操作,只要进入DOS界面,以命令提示符方式运行该程序即可。第二,如果你使用的是volatility-2.2.win32.exe,

8、需要双击该程序,按照安装提示安装即可。但前提是你的电脑上已经安装了Python2.6或Python2.6。图2.1是使用volatility-2.2.win32.exe安装Volatility2.2工具的初始画面,画面中的PYTHONPowered告诉我们后面的安装过程需要Python的支持。.---图2.1使用vo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。