Depuis sa version 2.2, Volatility supporte les images mémoire des systèmes Linux en proposant des fonctionnalités similaires à l'analyse d'acquisition RAM Windows. Cependant, à l'heure actuelle, il existe peu de littérature autour de son utilisation sur un environnement Linux. Nous allons donc voir dans cet article en deux parties comment se préparer au mieux, de la phase d'acquisition à l'analyse de l'image mémoire résultante ainsi que les fonctionnalités proposées par Volatility. La première présente la phase d'acquisition et le fonctionnement interne de Volatility tandis que la seconde sera une analyse en profondeur d'une acquisition mémoire d'un système Linux.
1. Introduction
Depuis quelque temps, l'analyse d'une image mémoire d'un système Windows est rentrée dans les mœurs. En effet, Windows étant encore le système de prédilection pour postes utilisateurs, l'analyse mémoire de ce système est largement documentée et une myriade de recherches dans le domaine est basée dessus. D'ailleurs, le lecteur intéressé par des exemples concrets pourra se référer à la page « Community Docs » du wiki [COMDOC] ainsi qu'à des exemples très détaillés sur le blog du projet [VOLBLOG].
L'avantage des systèmes Windows pour l'analyse mémoire réside dans le fait qu'il existe peu de versions différentes du noyau. Ainsi, pour la partie acquisition avec par exemple l'outil winpmem [WINPMEM], uniquement deux versions du pilote sont nécessaires : une version 32 bits et une version 64 bits. Concernant la partie analyse, Volatility propose le support de chaque version de Windows de XP à Seven ainsi que de leurs services packs...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
