पायथन फोरेंसिक - मेमोरी और फोरेंसिक
इस अध्याय में, हम इसकी मदद से वाष्पशील मेमोरी की जांच करने पर ध्यान केंद्रित करेंगे Volatilityनिम्नलिखित प्लेटफार्मों पर लागू पायथन-आधारित फोरेंसिक रूपरेखा: Android तथा Linux।
अस्थिरमति
वाष्पशील मेमोरी एक प्रकार का भंडारण है जहां सिस्टम की शक्ति बंद या बाधित होने पर सामग्री मिट जाती है। RAM एक अस्थिर मेमोरी का सबसे अच्छा उदाहरण है। इसका मतलब है, यदि आप एक ऐसे दस्तावेज़ पर काम कर रहे थे, जो एक गैर-वाष्पशील मेमोरी, जैसे कि हार्ड ड्राइव, और कंप्यूटर में खोई हुई शक्ति से नहीं बचा है, तो सारा डेटा खो जाएगा।
सामान्य तौर पर, अस्थिर स्मृति फोरेंसिक अन्य फोरेंसिक जांच के समान पैटर्न का पालन करते हैं -
- जांच के लक्ष्य का चयन करना
- फोरेंसिक डेटा प्राप्त करना
- फोरेंसिक विश्लेषण
बुनियादी volatility plugins जो Android जमाव के लिए उपयोग किए जाते हैं RAM dumpविश्लेषण के लिए। एक बार जब रैम डंप को विश्लेषण के लिए इकट्ठा किया जाता है, तो रैम में मैलवेयर के लिए शिकार करना शुरू करना महत्वपूर्ण है।
यारा नियम
YARA एक लोकप्रिय उपकरण है जो एक मजबूत भाषा प्रदान करता है, पर्ल-आधारित रेगुलर एक्सप्रेशंस के साथ संगत है, और इसका उपयोग संदिग्ध फ़ाइलों / निर्देशिकाओं और मिलान स्ट्रिंग की जांच करने के लिए किया जाता है।
इस खंड में, हम पैटर्न मिलान कार्यान्वयन के आधार पर YARA का उपयोग करेंगे और उन्हें उपयोगिता शक्ति के साथ संयोजित करेंगे। पूरी प्रक्रिया फोरेंसिक विश्लेषण के लिए फायदेमंद होगी।
उदाहरण
निम्नलिखित कोड पर विचार करें। यह कोड कोड निकालने में मदद करता है।
import operator
import os
import sys
sys.path.insert(0, os.getcwd())
import plyara.interp as interp
# Plyara is a script that lexes and parses a file consisting of one more Yara
# rules into a python dictionary representation.
if __name__ == '__main__':
file_to_analyze = sys.argv[1]
rulesDict = interp.parseString(open(file_to_analyze).read())
authors = {}
imps = {}
meta_keys = {}
max_strings = []
max_string_len = 0
tags = {}
rule_count = 0
for rule in rulesDict:
rule_count += 1
# Imports
if 'imports' in rule:
for imp in rule['imports']:
imp = imp.replace('"','')
if imp in imps:
imps[imp] += 1
else:
imps[imp] = 1
# Tags
if 'tags' in rule:
for tag in rule['tags']:
if tag in tags:
tags[tag] += 1
else:
tags[tag] = 1
# Metadata
if 'metadata' in rule:
for key in rule['metadata']:
if key in meta_keys:
meta_keys[key] += 1
else:
meta_keys[key] = 1
if key in ['Author', 'author']:
if rule['metadata'][key] in authors:
authors[rule['metadata'][key]] += 1
else:
authors[rule['metadata'][key]] = 1
#Strings
if 'strings' in rule:
for strr in rule['strings']:
if len(strr['value']) > max_string_len:
max_string_len = len(strr['value'])
max_strings = [(rule['rule_name'], strr['name'], strr['value'])]
elif len(strr['value']) == max_string_len:
max_strings.append((rule['rule_name'], strr['key'], strr['value']))
print("\nThe number of rules implemented" + str(rule_count))
ordered_meta_keys = sorted(meta_keys.items(), key = operator.itemgetter(1),
reverse = True)
ordered_authors = sorted(authors.items(), key = operator.itemgetter(1),
reverse = True)
ordered_imps = sorted(imps.items(), key = operator.itemgetter(1), reverse = True)
ordered_tags = sorted(tags.items(), key = operator.itemgetter(1), reverse = True)
उपरोक्त कोड निम्नलिखित आउटपुट का उत्पादन करेगा।
कार्यान्वित YARA नियमों की संख्या संदिग्ध फ़ाइलों की बेहतर तस्वीर देने में मदद करती है। अप्रत्यक्ष रूप से, संदिग्ध फ़ाइलों की सूची फोरेंसिक के लिए उपयुक्त जानकारी जुटाने में मदद करती है।
जीथब में स्रोत कोड निम्नलिखित है: https://github.com/radhikascs/Python_yara