Volatily è un framework forense avanzato per analizzare la memoria di un device. Lo strumento principaleall’interno del framework è lo script Volatility Python, che utilizza un’ampia gamma di plugin per eseguire l’analisi delle immagini della memoria. Di conseguenza, Volatility può essere eseguito su qualsiasi file sistema operativo che supporta Python.

È disponibile una gamma di plugin per Volatility con altri in fase di sviluppo. Per esaminare la memoria di  un sistema, verranno esaminati diversi plugin per garantire che si dispone di informazioni sufficienti per condurre un’analisi corretta. È raccomandato
tuttavia, prima di utilizzare Volatility, che il software sia aggiornato.

Installazione di Volatility
Disponibile per Linux, Windows e macOS. Informazioni sull’installazione su
vari sistemi operativi sono disponibili su volatilityfoundation.org. Per questo capitolo, Volatility è stato installato sul sottosistema Linux Ubuntu 16.04. Il seguente comando installerà Volatility nel sottosistema Ubuntu, così come altri sistemi operativi Linux:

  • sudo apt-get install volatility

Lavorare con Volatility

Ha una sintassi di base con i singoli comandi. La prima parte del comando è l’immagine della memoria che è sotto analisi. Il secondo è il profilo dell’immagine della memoria.Ciascun sistema operativo ha i propri metodi specifici di indirizzamento della memoria. Volatility prende le info in base alle specifiche aree di memoria in cui và a trovare i dati appropriati.

Ecco un esempio della sintassi del comando Volatility: volatility -f cridex.vmem –profile=Win7SP1x64 plugin

Sono disponibili molte altre opzioni, come il puntamento di Volatility su un PID o sull’output con i risultati in un file di testo. Informazioni sui vari plugin sono disponibili su Volatility a questa pagina . GitHub https:/ / github. com/ volatilityfoundation/ volatility/ wiki/ Command-
Reference.

Informazioni sull’immagine con Volatility

Anche se l’analista è certo del sistema operativo, è comunque buona norma eseguire il check delle immagini di memoria contro il plugin imageinfo di Volatility. L’output di questo plugin identifica il potenziale profilo dell’immagine della memoria che diventa fondamentale per l’utilizzo di tutti gli altri plugin disponibili. Viene utilizzato il seguente comando: volatility -f cridex.mem imageinfo

Analisi dei processi con Volatility

L’obiettivo qui è identificare quei processi che appaiono sospetti e identificare eventuali dati correlati ad essi associati. Il primo di questi sarà il plugin pslist. Il comando pslist elenca i processi correnti in esecuzione in memoria. Questo plugin emette l’offset, il nome del processo, il PID, il thread e handle e la data e l’ora in cui il processo è stato avviato e terminato. Il plugin pslistnon h la capacità di rilevare processi nascosti o scollegati. Per eseguire il plugin, inserisci il file seguendo nel prompt dei comandi:

volatility -f cridex.vmem -profile=WinXPSP2x86pslist

Dall’output non sembra esserci subito nulla di sospetto. Cosa è interessante è l’eseguibile reader_sl.exe. Questo si distingue come una diversa denominazione dei file convenzione dagli altri processi. Sebbene non ci siano dati concreti che indichino che il file è dannoso, potrebbe essere qualcosa da esaminare ulteriormente.

Process scan

psscan è un utile plugin che consente all’analista di esaminare i processi che sono stati terminati. Come discusso in precedenza, pslist mostra solo i processi attivi. psscan potrebbe fornire dati sulla possibilità di un rootkit attraverso l’esame di tali processi
che sono stati scollegati o nascosti. Il seguente comando eseguirà il plugin:

Dall’output di questo plugin, non sembra che siano terminati processi aggiuntivi.

Process tree

Il plugin pstree fornisce agli esaminatori una struttura ad albero che identifica il genitore del processo che sta eseguendo un potenziale processo sospetto. L’immagine di Cridex viene eseguita con questo plugin, utilizzando il seguente comando:

Un’analisi dei risultati dei tre plugin mostra una voce interessante. PID 1640 è associato all’eseguibile reader_sl.exe. Il quale potrebbe non sembrare un’applicazione Adobe o affidabile. Inoltre, il PID genitore indica che è stato eseguito tramite Windows Explorer.