Scriptez vos analyses forensiques avec Python et DFF

De plus en plus d’entreprises ont entamé une migration de leurs services dans le cloud, mais n’ont bien souvent pas pris en compte dès le départ le sujet du forensic et plus largement de la réponse à incidents. Bien que l’environnement soit différent du classique On-Prem, les enjeux restent les mêmes, être en mesure de détecter et d’investiguer le plus rapidement possible les ressources compromises.

Cet article fait suite au premier publié dans le numéro 72. La première partie présentait l'acquisition de la mémoire volatile d'un système GNU/Linux ainsi que les « internals » de Volatility. Cet article présente les commandes et les possibilités d'analyses associées avec un rappel sur les structures noyaux utilisées.

Depuis sa version 2.2, Volatility supporte les images mémoire des systèmes Linux en proposant des fonctionnalités similaires à l'analyse d'acquisition RAM Windows. Cependant, à l'heure actuelle, il existe peu de littérature autour de son utilisation sur un environnement Linux. Nous allons donc voir dans cet article en deux parties comment se préparer au mieux, de la phase d'acquisition à l'analyse de l'image mémoire résultante ainsi que les fonctionnalités proposées par Volatility. La première présente la phase d'acquisition et le fonctionnement interne de Volatility tandis que la seconde sera une analyse en profondeur d'une acquisition mémoire d'un système Linux.