Operační systém a aplikace počítače využívají primární paměť (neboli RAM) k provádění různých úkolů. Tato volatilní paměť obsahující množství informací o spuštěných aplikacích, síťových připojeních, modulech jádra, otevřených souborech a téměř všem ostatním je vymazána při každém restartu počítače.
Další zdroje pro Linux
- Cheat pro příkazy Linuxu
- Cheat sheet pro pokročilé příkazy systému Linux
- Bezplatný online kurz:Technický přehled RHEL
- Síťový cheat pro Linux
- Cheat sheet SELinux
- Cheat pro běžné příkazy pro Linux
- Co jsou kontejnery systému Linux?
- Naše nejnovější články o Linuxu
Forenzní analýza paměti je způsob, jak najít a extrahovat tyto cenné informace z paměti. Volatility je nástroj s otevřeným zdrojovým kódem, který ke zpracování tohoto typu informací využívá pluginy. Je tu však problém:Než budete moci zpracovat tyto informace, musíte vypsat fyzickou paměť do souboru a Volatility tuto schopnost nemá.
Proto má tento článek dvě části:
- První část se zabývá získáním fyzické paměti a jejím uložením do souboru.
- Druhá část používá Volatility ke čtení a zpracování informací z tohoto výpisu paměti.
Pro tento výukový program jsem použil následující testovací systém, ale bude fungovat na jakékoli distribuci Linuxu:
$ cat /etc/redhat-release
Red Hat Enterprise Linux verze 8.3 (Ootpa)
$
$ uname -r
4.18.0-240.el8.x86_64
$
Upozornění: Část 1 zahrnuje kompilaci a načtení modulu jádra. Nebojte se; není to tak těžké, jak to zní. Několik pokynů:
- Postupujte podle pokynů.
- Žádný z těchto kroků nezkoušejte na produkčním systému nebo na primárním počítači.
- Vždy používejte testovací virtuální stroj (VM) k vyzkoušení věcí, dokud nebudete s používáním nástrojů spokojeni a nepochopíte, jak fungují.
Nainstalujte požadované balíčky
Než začnete, nainstalujte potřebné nástroje. Pokud používáte distribuci založenou na Debianu, použijte ekvivalentní apt-get příkazy. Většina těchto balíčků poskytuje požadované informace o jádře a nástroje pro kompilaci kódu:
$ yum install kernel-headers kernel-devel gcc elfutils-libelf-devel make git libdwarf-tools python2-devel.x86_64-y Část 1:Použijte LiME k získání paměti a jejímu uložení do souboru
Než začnete analyzovat paměť, musíte mít k dispozici výpis paměti. Ve skutečné forenzní události by to mohlo pocházet z kompromitovaného nebo hacknutého systému. Tyto informace jsou často shromažďovány a ukládány za účelem analýzy toho, jak k narušení došlo a jeho dopadu. Protože pravděpodobně nemáte k dispozici výpis paměti, můžete provést výpis z paměti svého testovacího virtuálního počítače a použít jej k forenzní analýze paměti.
Linux Memory Extractor (LiME) je oblíbený nástroj pro získávání paměti v systému Linux. Získejte LiME s:
$ git klon https://github.com/504ensicsLabs/LiME.git
$
$ cd LiME/src/
$
$ ls
deflate .c disk.c hash.c lime.h main.c Makefile Makefile.sample tcp.c
$
Sestavení modulu jádra LiME
Spusťte make příkaz uvnitř src složka. Tím se vytvoří modul jádra s příponou .ko. V ideálním případě lime.ko soubor bude přejmenován ve formátu lime-<your-kernel-version>.ko na konci make :
$ make
make -C /lib/modules/4.18.0-240.el8.x86_64/build Moduly M="/root/LiME/src"
make[1]:Vstup do adresáře '/usr/src/kernels/4.18.0-240.el8.x86_64'
<>
make[1]:Opuštění adresáře '/usr/ src/kernels/4.18.0-240.el8.x86_64'
strip --strip-unneeded lime.ko
mv lime.ko lime-4.18.0-240.el8.x86_64.ko
$
$
$ ls -l lime-4.18.0-240.el8.x86_64.ko
-rw-r--r--. 1 kořen kořen 25696 17. dubna 14:45 lime-4.18.0-240.el8.x86_64.ko
$
$ file lime-4.18.0-240.el8.x86_64.ko
lime-4.18.0-240.el8.x86_64.ko:ELF 64bitový LSB přemístitelný, x86-64, verze 1 (SYSV), BuildID[sha1]=1d0b5cf932389000d960a7e6b57c46c>$pedcbre>Načíst modul jádra LiME
Nyní je čas načíst modul jádra, aby získal systémovou paměť.
insmodpříkaz pomáhá načíst modul jádra; po načtení modul načte primární paměť (RAM) ve vašem systému a vypíše obsah paměti do souboru uvedeného vpathadresář na příkazovém řádku. Dalším důležitým parametrem jeformat; zachovat formátlime, Jak je ukázáno níže. Po vložení modulu jádra ověřte, že se načetl pomocílsmodpříkaz:$ lsmod | grep lime
$
$ insmod ./lime-4.18.0-240.el8.x86_64.ko "path=../RHEL8.3_64bit.mem format=lime"
$
$ lsmod | grep lime
lime 16384 0
$Měli byste vidět, že soubor je uveden v
pathbyl vytvořen příkaz a velikost souboru je (nepřekvapivě) stejná jako velikost fyzické paměti (RAM) ve vašem systému. Jakmile budete mít výpis paměti, můžete odstranit modul jádra pomocírmmodpříkaz:$
$ ls -l ~/LiME/RHEL8.3_64bit.mem
-r--r--r--. 1 kořenový kořenový adresář 4294544480 17. dubna 14:47 /root/LiME/RHEL8.3_64bit.mem
$
$ du -sh ~/LiME/RHEL8.3_64bit.mem
4.0G /root/ LIME / RHEL8.3_64BIT.MEM
$
$ Free -m
Celkem použitý Zdarma sdružená buff / cache k dispozici
MEM:3736 220 366 8 3149 3259
Swap:4059 8 4051
$
$ rmmod lime
$
$ lsmod | grep lime
$Co je ve výpisu paměti?
Tento soubor výpisu jsou pouze nezpracovaná data, jak můžete vidět pomocí
filepříkaz níže. Ručně z toho nemůžete mít velký smysl; ano, někde tam jsou nějaké ASCII řetězce, ale nemůžete soubor otevřít v editoru a přečíst si ho. Výstup hexdump ukazuje, že počátečních pár bajtů jeEmiL; je to proto, že formát vašeho požadavku byl ve výše uvedeném příkazu „lime“:$ soubor ~/LiME/RHEL8.3_64bit.mem
/root/LiME/RHEL8.3_64bit.mem:data
$
$ hexdump - C ~/LiME/RHEL8.3_64bit.mem | hlava
00000000 45 4d 69 4c 01 00 00 00 00 10 00 00 00 00 00 00 |EMiL............|
00000010 ff fb 09 000 00 00 00 00 00 00 00 00 00 |................|
00000020 b8 fe 4c cd 21 44 00 32 20 00 00 2a 2a 2a 2a 2a |... L.!D.2 ..*****|
00000030 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a |************** **|
00000040 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 2a 20 00 20 |************ . |
00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00000080 00 00 00 00 00 00 00 00 00 00 00 00 70 78 65 6c |............pxel|
00000090 69 6e 75 78 2e 30 00 00 000 00 00 00 |inux.0..........|
000000a0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |........... .....|
$Část 2:Získejte volatilitu a použijte ji k analýze výpisu paměti
Nyní, když máte ukázkový výpis paměti k analýze, získejte software Volatility pomocí příkazu níže. Volatilita byla přepsána v Pythonu 3, ale tento tutoriál používá původní balíček Volatility, který používá Python 2. Pokud chcete experimentovat s Volatility 3, stáhněte si ji z příslušného repozitáře Git a použijte Python 3 místo Pythonu 2 v následujících příkazech :
$ git klon https://github.com/volatilityfoundation/volatility.git
$
$ cd volatility/
$
$ ls
AUTHORS.txt contrib LEGAL.txt Makefile PKG-INFO pyinstaller.spec zdroje nástroje vol.py
CHANGELOG.txt CREDITS.txt LICENSE.txt MANIFEST.in překlad .txt MANIFEST.in READuppy setVolatility používá pro některé funkce dvě knihovny Pythonu, proto je prosím nainstalujte pomocí následujících příkazů. V opačném případě můžete při spuštění nástroje Volatility zaznamenat některé chyby importu; můžete je ignorovat, pokud nepoužíváte plugin, který tyto knihovny potřebuje; v takovém případě se nástroj ohlásí:
$ pip2 install pycrypto
$ pip2 install distorm3Vypsat linuxové profily Volatility
První příkaz Volatility, který budete chtít spustit, uvádí, jaké linuxové profily jsou k dispozici. Hlavním vstupním bodem pro spouštění jakýchkoli příkazů Volatility je
vol.pyskript. Vyvolejte jej pomocí interpretu Pythonu 2 a poskytněte--infovolba. Chcete-li zúžit výstup, vyhledejte řetězce začínající na Linux. Jak vidíte, není uvedeno mnoho linuxových profilů:$ python2 vol.py --info | grep ^Linux
Volatility Foundation Volatility Framework 2.6.1
LinuxAMD64PagedMemory – 64bitový adresní prostor AMD pro Linux.
$Vytvořte si svůj vlastní linuxový profil
Linuxové distribuce jsou rozmanité a postavené pro různé architektury. To je důvod, proč jsou profily zásadní – Volatilita musí znát systém a architekturu, ze které byl výpis paměti získán před extrakcí informací. K nalezení těchto informací existují příkazy Volatility; tato metoda je však časově náročná. Chcete-li věci urychlit, vytvořte si vlastní profil Linux pomocí následujících příkazů.
Přejděte do
tools/linuxadresáře v repozitáři Volatility a spusťtemakepříkaz:$ cd tools/linux/
$
$ pwd
/root/volatility/tools/linux
$
$ ls
kcore Makefile Makefile .enterprise module.c
$
$ make
make -C //lib/modules/4.18.0-240.el8.x86_64/build CONFIG_DEBUG_INFO=y M="/root/volatility /tools/linux" moduly
make[1]:Vstup do adresáře '/usr/src/kernels/4.18.0-240.el8.x86_64'
<>
make[ 1]:Opuštění adresáře '/usr/src/kernels/4.18.0-240.el8.x86_64'
$Měli byste vidět nový
module.dwarfsoubor. Potřebujete takéSystem.mapsoubor z/bootadresář, protože obsahuje všechny symboly související s aktuálně běžícím jádrem:$ ls
kcore Makefile Makefile.enterprise module.c module.dwarf
$
$ ls -l module.dwarf
-rw-r--r--. 1 kořenový kořenový adresář 3987904 17. dubna 15:17 module.dwarf
$
$ ls -l /boot/System.map-4.18.0-240.el8.x86_64
-rw--- ----. 1 root root 4032815 23. září 2020 /boot/System.map-4.18.0-240.el8.x86_64
$
$Chcete-li vytvořit vlastní profil, přejděte zpět do adresáře Volatility a spusťte níže uvedený příkaz. První argument poskytuje vlastní .zip s názvem souboru podle vašeho výběru. V názvu jsem použil verzi operačního systému a jádra. Dalším argumentem je
module.dwarfsoubor vytvořený výše a posledním argumentem jeSystem.mapsoubor z/bootadresář:$
$ volatilita cd/
$
$ volatilita zip/plugins/overlays/linux/Redhat8.3_4.18.0-240.zip tools/linux/module.dwarf /boot/ System.map-4.18.0-240.el8.x86_64
přidání:tools/linux/module.dwarf (vypuštěno 91 %)
přidání:boot/System.map-4.18.0-240.el8 .x86_64 (deflace 79 %)
$Váš vlastní profil je nyní připraven, takže ověřte, zda byl soubor .zip vytvořen ve výše uvedeném umístění. Pokud chcete vědět, zda Volatility detekuje tento vlastní profil, spusťte
--infopříkaz znovu. Tentokrát byste měli vidět nový profil uvedený níže:$
$ ls -l volatilita/pluginy/overlays/linux/Redhat8.3_4.18.0-240.zip
-rw-r--r--. 1 kořenový kořen 1190360 17. dubna 15:20 volatility/plugins/overlays/linux/Redhat8.3_4.18.0-240.zip
$
$
$ python2 vol.py --info | grep Redhat
Volatility Foundation Volatility Framework 2.6.1
LinuxRedhat8_3_4_18_0-240x64 – profil pro Linux Redhat8.3_4.18.0-240 x64
$
$Začněte používat volatilitu
Nyní jste všichni připraveni provést skutečnou forenzní analýzu paměti. Pamatujte, že Volatility se skládá z vlastních pluginů, které můžete spustit proti výpisu paměti, abyste získali informace. Obecný formát příkazu je:
python2 vol.py -f <memory-dump-file-taken-by-Lime> <plugin-name> --profile=<name-of-our-custom-profile>Vyzbrojeni těmito informacemi spusťte linux_banner plugin, abyste zjistili, zda můžete identifikovat správné informace o distribuci z výpisu paměti:
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_banner --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1
Linux verze 2.0. el8.x86_64 ([email protected]) (gcc verze 8.3.1 20191121 (Red Hat 8.3.1-5) (GCC)) #1 SMP St 23. září 05:13:10 EDT 2020
$Najít pluginy Linux
To fungovalo dobře, takže teď jste pravděpodobně zvědaví, jak najít všechny názvy všech linuxových pluginů. Existuje jednoduchý trik:spusťte
--infopříkaz agrepprolinux_tětiva. K dispozici je celá řada pluginů pro různá použití. Zde je částečný seznam:$ python2 vol.py --info | grep linux_
Volatility Foundation Volatility Framework 2.6.1
linux_apihooks – Kontroly uživatelských apihooks
linux_arp AS_ AutomaticLR Automaticky LR Automaticky vytisknout tabulku A RP br />< >
linux_banner – Vytiskne informace banneru Linux
linux_vma_cache - Shromáždí VMA z mezipaměti vm_area_struct
linux ll linux_yarascan – Shell v obrazu paměti Linux
$Zkontrolujte, které procesy v systému běžely, když jste provedli výpis z paměti, pomocí linux_psaux zapojit. Všimněte si posledního příkazu v seznamu:je to
insmodpříkaz, který jste spustili před výpisem:$ python2 vol.py -f ~ / lime / rhel8.3_64bit.mem linux_psaux --profile =linuxredhat8_3_4_18_0-240x64
Zpozorita Nadace Volatility Framework 2.6.1
PID UID UID GID Argumenty
1 0 0 / usr / lib / systemd / systemd --switched-root --System --deserializovat 18
2 0 0 [kontreadd]
3 0 0 [rcu_gp]
4 0 0 [RCU_PAR_GP]
861 0 0 / usr / libexec / platform-python -S / usr / sbin / laděk -l -p
869 0 0 / usr / bin / rhsmcertd
875 0 0 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
878 0 0 /usr/libexec/sssd/sssd_nss --uid 0 --gi logger=files
<<>>
11064 89 89 QMgr -l -t UNIX -U
227148 0 0 [KWorker / 0:0]
227298 0 0 - Bash
227374 0 0 [KWorker / U2:1]
227375 0 0 [KWorker / 0:2]
227884 0 0 [KWorker / 0:3]
228573 0 0 INSMOD ./LIME-4.18.0-240.EL8.x86_64.Ko PATH =.. / RHEL8.3_64BIT.MEM Formát =vápno
228576 0 0
$Chcete vědět o statistikách sítě systému? Spusťte linux_netstat plugin pro zjištění stavu síťových připojení během výpisu paměti:
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_netstat --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1
UNIX 3 d1/1 systemd/private
UNIX 11411 systemd/1 /run/systemd/notify
UNIX 11413 systemd/1
<>
$Dále použijte linux_mount plugin, abyste viděli, které souborové systémy byly připojeny během výpisu paměti:
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_mount --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1 m pf t pf s t pf s pf s RO, NOSUID, NODEV, NOEXEC
CGROUP / SYS / FS / CGROUP / PIDS CGROUP RW, relatime, nosuid, nodev, noexec
Systemd-1 / proc / sys / fs / binfmt_misc Autofs rw, relatime
SUNRPC / VAR / LIB / NFS / RPC_PIPEFS RPC_PIPEFS RW, Relatime
/ Dev / Mapper / RHEL_KVM - 03 - GUEST11-Root / XFS RW, Relatime
TMPFS / DEV / SHM TMPFS RW ,nosuid,nodev
selinuxfs /sys/fs/selinux selinuxfs,
<>
cgroup /sys/fs/cgroup/net_cls,net_prio cgroup rw,relatime,nosuid,nodev,noexec / c / / c
bpf / sys / fs / bpf bpf rw, relatime, nosuid, nodev, noexec
cgroup / sys / fs / cgroup / paměť cgroup ro, Relatime, NOSUID, NODEV, NOEXEC
CGROUP / SYS / FS / CGROUP / CPUSET CGROUP RW, Relatime, NOSUID, NODEV, NOEXEC
MQUeue / Dev / MQueue MQueue RW, Relatime
$Zajímá vás, jaké moduly jádra byly načteny? Volatility má na to také plugin, výstižně nazvaný linux_lsmod :
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_lsmod --profile=LinuxRedhat8_3_4_18_0-240x64
Volatility Foundation Volatility Framework 2.6.1
FFFFFFFFC05E8040 SUNRPFFFFC05E8040 SUNRPC 479232
<FFFFFFFFFC025E040 DM_REGION_HASHFC025E040 DM_REGION_HASH 20480
FFFFFFFFFC0258180 DM_LOG 20480
ffffffffc024bbc0 dm_mod 151552
$Chcete najít všechny příkazy, které uživatel spustil a které byly uloženy v historii Bash? Spusťte linux_bash plugin:
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_bash --profile=LinuxRedhat8_3_4_18_0-240x64 -v
Volatility Foundation Volatility Framework 2.6.1
Pid me br />-------- ------------------- -------------------- ----------- -------
227221 bash 2021-04-17 18:38:24 UTC+0000 lsmod
227221 20 2 1 1 0 :38:24 UTC+0000 rm -f .log
227221 bash 2021-04-17 18:38:24 UTC+0000 ls -l /etc -2 2 2h /> 21 bash /> :38:24 UTC+0000 kat ~/.vimrc
227221 bash 17. 4. 2021 18:38:24 UTC+0000 ls
2:2 8 0 1 23 8 1 22720 1 0000 kat /proc/817/cwd
227221 bash 2021-04-17 18:38:24 UTC+0000 ls -l /proc/817/cwd 2: 017/02 27 7 –12:0 :24 UTC+0000 ls /proc/817/
<>
227298 bash 2021-04-17 18 :40:30 UTC+0000 gcc prt.c
227298 bash 17. 4. 2021 18:40:30 UTC+0000 ls
0 0 0 0 0 0 0 2 0 0 0 22729 22 ./a.out
227298 bash 2021-04-17 18:40:30 UTC+0000 vim prt.c
227298 bash 0 ccm 0 2 0. 0. 0 cc - 0 0. 0 2 0 0. 0. 0 2 0 0. c
227298 bash 2021-04-17 18:40:30 UTC+0000 ./a.out
227298 bash 4 0 4 0 2 0 / 2 0 0 0 0 0Chcete vědět, jaké soubory byly otevřeny kterými procesy? Použijte linux_lsof plugin pro zobrazení těchto informací:
$ python2 vol.py -f ~ / vápno / rhel8.3_64bit.mem linux_lsof --profile =linuxredhat8_3_4_18_0-240x64
Zpozorita Nadace Volatility Framework 2.6.1
Offset Jméno PID FD PATH
------------------ ------------------------------- -------- ---------- ----
0xFFFFFFF9C83FB1E9F40 rsyslogd 71194 0 / dev / null
0xffff9c83fb1e9f40 rsyslogd 71194 1 / dev / null
0xFFFFFFF9C83FB1E9F40 rsyslogd 71194 2 / Dev / Null
0xFFFFFF9C83FB1E9F40 RSSYSLOGD 71194 3 / Dev / Urandom
0xFFFFFFF9C83FB1E9F40 RSYSLOGD 71194 4 Zásuvka:[83565]
0xFFFFFFFFFF9C83FB1E9F40 RSYSLOGD 711943FB1E9F40 RSYSLOGD 71194 5 / VAR / LOG / Zprávy
0xFFFFFFFF9C83FB1E9F40 RSSYLOGD 71194 6 anon_inode:[9063]
0xffff9c83fb1e9f40 rsyslogd 71194 7 /var/log/s URE
<>
0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFW9C8365761F40 INSMOD 228573 1 / Dev / PTS / 0
0xFFFFFF9C8365761F40 INSMOD 228573 2 / Dev / PTS / 0
0xFFFFFFF9C8365761f40 insmod 228573 3 /root/lime/src/lime-4.18.0-240.EL8.x86_64.Ko
$Přístup k umístění skriptů pluginů Linux
Přečtením výpisu paměti a zpracováním informací můžete získat mnohem více informací. Pokud znáte Python a zajímá vás, jak byly tyto informace zpracovány, přejděte do adresáře, kde jsou uloženy všechny pluginy, vyberte si ten, který vás zajímá, a podívejte se, jak Volatility tyto informace získává:
$ LS Volatilita / pluginy / Linux / Linux /
Aperel_Opened_files.py Malfind.py psaux.py
apiok.pyc common.pyc jerd_oped_files.pyc Malfind.pyc psaux.pyc
arp.py cpuinfo.pyboard_notifiers.py mount_cache.py psenv.py
arp.pyc cpuinfo.pyc klávesnice_notifiers.pyc mount_cache.pyc psenv.pyc
aslr_shift.pycycache.py ld_env.py hoře. tty_check.py
check_syscall_arm.pyc __init __. pyc lsmod.pyc proc_maps.pyc tty_check.pyc
check_syscall.py Iomem.py lsof.py proc_m aps_rb.py vma_cache.py
check_syscall.pyc iomem.pyc lsof.pyc proc_maps_rb.pyc $ c
py.Jedním z důvodů, proč mám rád Volatility, je to, že poskytuje spoustu bezpečnostních pluginů. Tyto informace by bylo obtížné získat ručně:
linux_hidden_modules – Vytváří paměť pro nalezení skrytých modulů jádra
linux_malfind – Vyhledává mapování podezřelých procesů
linux_truecrypt_passphrase – Obnovuje hesla Truecrypt uložená v mezipamětiVolatilita také umožňuje otevřít shell v rámci výpisu paměti, takže namísto spouštění všech výše uvedených příkazů můžete místo toho spouštět příkazy shellu a získat stejné informace:
$ python2 vol.py -f ~/LiME/RHEL8.3_64bit.mem linux_volshell --profile=LinuxRedhat8_3_4_18_0-240x64 -v
Volatility Foundation Volatility Framework 2.6.1
Aktuální kontext:systémový proces pid=1 DTB=0x1042dc000
Vítejte ve volshell! Aktuální obraz paměti je:
file:///root/LiME/RHEL8.3_64bit.mem
Chcete-li získat nápovědu, zadejte 'hh()'
>>>
>>> sc()
Aktuální kontext:process systemd, pid=1 DTB=0x1042dc000
>>>Další kroky
Paměťová forenzní je dobrý způsob, jak se dozvědět více o vnitřních systémech Linuxu. Vyzkoušejte všechny pluginy Volatility a podrobně si prostudujte jejich výstup. Pak přemýšlejte o tom, jak vám tyto informace mohou pomoci identifikovat narušení nebo bezpečnostní problém. Ponořte se do toho, jak pluginy fungují, a možná je dokonce zkuste vylepšit. A pokud jste nenašli plugin pro to, co chcete dělat, napište ho a odešlete jej do Volatility, aby ho mohli používat i ostatní.
Upgradujte hardware počítače se systémem Linux pomocí nástrojů s otevřeným zdrojovým kódem 3 oblíbené USB disky Linuxové distribuceLinux