Examaining and Analysis Windows Memory

From belajarwiki
Revision as of 11:52, 16 October 2024 by Aditya (talk | contribs) (Created page with "Volatility 3 adalah versi terbaru dari alat analisis forensik memori Volatility, yang dirancang untuk membantu penyelidik forensik dan profesional keamanan dalam menganalisis...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Volatility 3 adalah versi terbaru dari alat analisis forensik memori Volatility, yang dirancang untuk membantu penyelidik forensik dan profesional keamanan dalam menganalisis dump memori (image memory) dari sistem komputer. Berikut adalah penjelasan lebih lanjut tentang fitur, kegunaan, dan arsitektur Volatility 3:

Fitur Utama

  1. Dukungan untuk Berbagai Platform: Volatility 3 mendukung analisis untuk berbagai sistem operasi, termasuk Windows, Linux, dan macOS, menjadikannya alat yang fleksibel untuk analisis forensik memori.
  2. Modular dan Ekstensible: Dibangun dengan arsitektur modular, yang memungkinkan penambahan plugin baru dan peningkatan fungsionalitas dengan mudah. Ini memudahkan pengembang untuk menyesuaikan dan mengembangkan fitur baru.
  3. Penggunaan API: Menyediakan API yang lebih baik untuk interaksi dengan data memori, memungkinkan pengembang untuk membuat skrip dan alat tambahan yang dapat berfungsi dengan data yang dianalisis.
  4. Dukungan untuk Format Dump yang Beragam: Mampu bekerja dengan berbagai format dump memori, termasuk file raw, crash dumps, dan format lainnya, yang membuatnya lebih fleksibel dalam penerapannya.
  5. Peningkatan Kinerja: Memiliki optimasi untuk meningkatkan kecepatan dan efisiensi analisis, memungkinkan pemrosesan data memori yang lebih cepat.

Kegunaan

  1. Analisis Forensik: Digunakan oleh penyelidik untuk menganalisis memori yang dicuri atau dump memori untuk menemukan jejak aktivitas malware, melakukan analisis malware, dan mengumpulkan bukti dalam penyelidikan keamanan.
  2. Identifikasi Proses dan Koneksi Jaringan: Memungkinkan pengguna untuk mengidentifikasi proses yang sedang berjalan, koneksi jaringan, dan aktivitas yang mencurigakan dalam memori.
  3. Investigasi Insiden: Berguna dalam konteks respon insiden untuk mendapatkan wawasan tentang apa yang terjadi pada sistem saat insiden terjadi.
  4. Pemeriksaan Aktivitas Pengguna: Memungkinkan analisis tentang aktivitas pengguna dan aplikasi untuk memahami perilaku sistem.

Arsitektur

  1. Plugin: Volatility 3 menggunakan sistem plugin yang memungkinkan pengguna untuk menjalankan berbagai jenis analisis, seperti analisis proses, koneksi jaringan, sistem file, dan lebih banyak lagi.
  2. Dukungan Data: Dengan pendekatan yang lebih berbasis objek, Volatility 3 memudahkan pengelolaan dan interaksi dengan data memori yang dianalisis.
  3. Kompatibilitas dengan Versi Sebelumnya: Meskipun merupakan versi yang lebih baru, Volatility 3 dirancang untuk berfungsi dengan baik dengan sebagian besar fitur dari versi sebelumnya, sambil menawarkan fungsionalitas yang lebih kuat dan lebih fleksibel.


Tools

  1. FTK Imager
  2. Volatility

Experiment

Ambil memory menggunakan FTK Imager
  1. Klik capture memory
  2. Arahkan lokasi memory akan disimpan di mana (ekstensi bisa .raw atau .mem)*
Analisis menggunakan Volatility

Pastikan memiliki python (disarankan versi 3).

Clone dari github 

git clone https://volatility3.readthedocs.io/en/latest/

Di dalam folder volatility3, install requirement 

pip3 install -r requirements.txt

Cek plugin yang dapat digunakan 

python vol.py -h


  • Catatan:
Format RAW
  1. Definisi: Format RAW (atau "raw memory dump") adalah representasi mentah dari memori fisik sistem. Ini mencakup semua konten yang ada dalam RAM tanpa pengolahan lebih lanjut.
  2. Karakteristik:
    1. Ukuran File: File RAW biasanya lebih besar karena menyimpan semua data di memori, termasuk ruang kosong.
    2. Kecepatan: Proses pengambilan memori dalam format RAW cenderung lebih cepat karena tidak memerlukan pemrosesan tambahan.
    3. Detail Lengkap: Menyediakan representasi yang lebih lengkap dari memori, termasuk semua data yang tersimpan, struktur data, dan informasi sistem.
    4. Kompatibilitas: Format RAW umum dan dapat digunakan oleh banyak alat forensik dan analisis memori lainnya.
  3. Keterbatasan:
    1. Tidak Terstruktur: Data dalam format RAW tidak memiliki metadata atau struktur, sehingga memerlukan pemrosesan tambahan untuk analisis.
    2. Kesulitan Analisis: Mungkin lebih sulit untuk menganalisis tanpa alat yang tepat, karena data tidak diorganisir dalam format yang mudah dibaca.
Format MEM
  1. Definisi: Format MEM (Memory Image) adalah format khusus yang dirancang untuk menyimpan dump memori dengan lebih terstruktur, sering kali mencakup metadata dan informasi tambahan.
  2. Karakteristik:
    1. Struktur dan Metadata: Format MEM sering menyertakan informasi tambahan seperti waktu pengambilan, informasi sistem, dan struktur data yang membuatnya lebih mudah dianalisis.
    2. Ukuran File: File MEM mungkin lebih kecil dibandingkan file RAW karena dapat melakukan kompresi atau menyimpan hanya data yang relevan.
    3. Dukungan untuk Analisis: Banyak alat analisis memori dan forensik lebih mudah bekerja dengan format MEM karena strukturnya yang lebih terorganisir.
  3. Keterbatasan:
    1. Kompleksitas: Proses capture dan penyimpanan dalam format MEM mungkin lebih kompleks dan memakan waktu dibandingkan dengan RAW.
    2. Kompatibilitas: Mungkin tidak semua alat mendukung format MEM, tergantung pada implementasi spesifik.



Link Terkait

Referensi

Retrieved from "https://kontenbelajar.com/wiki/index.php?title=Examaining_and_Analysis_Windows_Memory&oldid=373"