Package: volatility (2.6.1-1)

infrastruttura avanzata per analisi forensi sulla memoria

L'infrastruttura Volatility è una raccolta di strumenti completamente open source per l'estrazione di artefatti digitali da campioni di memoria volatile (RAM). È utile per l'analisi forense. Le tecniche di estrazione vengono effettuate in modo completamente indipendente dal sistema sotto analisi ma offrono una visibilità senza precedenti sullo stato del sistema in fase di esecuzione.

Volatility gestisce i dump di memoria da tutte le principali versioni e i service pack a 32 e 64 bit di Windows. Indipendentemente dal fatto che il dump di memoria sia in formato grezzo, un dump di crash di Windows, un file di ibernazione o un'istantanea di una macchina virtuale, Volatility è in grado di lavorare con esso.

Sono gestiti anche i dump di memoria di Linux in formato grezzo o LiME. Ci sono svariati plugin per analizzare dump di memoria da kernel Linux a 32 e 64 bit e distribuzioni rilevanti come Debian, Ubuntu, openSUSE, RedHat, Fedora, CentOS, Mandriva, ecc.

Volatility gestisce anche diverse versioni di dump di memoria di Mac OSX, sia a 32 sia a 64 bit. Sono gestiti anche i telefoni Android con processori ARM.

Questi sono alcuni dei dati che possono essere estratti da un'immagine di memoria:

   - informazioni sull'immagine (data, ora, conteggio CPU);
   - processi in esecuzione;
   - socket e connessioni di rete aperti;
   - moduli del kernel del SO caricati;
   - mappe di memoria per ciascun processo;
   - campioni di eseguibili;
   - storici dei comandi;
   - mappature di processi sospetti (cioè codice iniettato);
   - password, come hash LM/NTLM e segreti LSA;
   - passphrase Truecrypt in cache;
   - altro.

La versione attuale (2.6) gestisce lo studio delle seguenti immagini di memoria da questi sistemi operativi:

   - Windows XP Service Pack 2 e 3 a 32 bit;
   - Windows 2003 Server Service Pack 0, 1, 2 a 32 bit;
   - Windows Vista Service Pack 0, 1, 2 a 32 bit;
   - Windows 2008 Server Service Pack 1, 2 (non esiste SP0) a 32 bit;
   - Windows 7 Service Pack 0, 1 a 32 bit;
   - Windows 8, 8.1 e 8.1 Update 1 a 32 bit;
   - Windows 10 (supporto iniziale) a 32 bit;
   - Windows XP Service Pack 1 e 2 (non esiste SP0) a 64 bit;
   - Windows 2003 Server Service Pack 1 e 2 (non esiste SP0) a 64 bit;
   - Windows Vista Service Pack 0, 1, 2 a 64 bit;
   - Windows 2008 Server Service Pack 1 e 2 (non esiste SP0) a 64 bit;
   - Windows 2008 R2 Server Service Pack 0 e 1 a 64 bit;
   - Windows 7 Service Pack 0 e 1 a 64 bit;
   - Windows 8, 8.1 e 8.1 Update 1 a 64 bit;
   - Windows Server 2012 e 2012 R2 a 64 bit;
   - Windows 10 (incluso come minimo 10.0.14393) a 64 bit;
   - Windows Server 2016 (incluso come minimo 10.0.14393.0) a 64 bit;
   - kernel Linux da 2.6.11 a 4.2.3 a 32 bit;
   - kernel Linux da 2.6.11 a 4.2.3 a 64 bit;
   - 10.5.x Leopard (l'unico 10.5 a 64 bit è Server, che non è supportato)
     a 32 bit;
   - 10.6.x Snow Leopard a 32 bit;
   - 10.6.x Snow Leopard a 64 bit;
   - 10.7.x Lion a 32 bit;
   - 10.7.x Lion a 64 bit;
   - 10.8.x Mountain Lion (non esiste una versione a 32 bit) a 64 bit;
   - 10.9.x Mavericks (non esiste una versione a 32 bit) a 64 bit;
   - 10.10.x Yosemite (non esiste una versione a 32 bit) a 64 bit;
   - 10.11.x El Capitan (non esiste una versione a 32 bit) a 64 bit;
   - 10.12.x Sierra (non esiste una versione a 32 bit) a 64 bit.

Volatility gestisce una varietà di formati di file di campioni:

   - campioni lineari grezzi (dd);
   - file di ibernazione (da Windows 7 e precedenti);
   - file di dump di crash;
   - core dump VirtualBox ELF64;
   - file di istantanee e stati salvati di VMware;
   - formato EWF (E01);
   - formato LiME;
   - formato di file Mach-O;
   - dump di macchine virtuali QEMU;
   - Firewire;
   - HPAK (FDPro).

This page is also available in the following languages (How to set the default document language):