पायथन फोरेंसिक - मेमोरी और फोरेंसिक

इस अध्याय में, हम इसकी मदद से वाष्पशील मेमोरी की जांच करने पर ध्यान केंद्रित करेंगे Volatilityनिम्नलिखित प्लेटफार्मों पर लागू पायथन-आधारित फोरेंसिक रूपरेखा: Android तथा Linux

अस्थिरमति

वाष्पशील मेमोरी एक प्रकार का भंडारण है जहां सिस्टम की शक्ति बंद या बाधित होने पर सामग्री मिट जाती है। RAM एक अस्थिर मेमोरी का सबसे अच्छा उदाहरण है। इसका मतलब है, यदि आप एक ऐसे दस्तावेज़ पर काम कर रहे थे, जो एक गैर-वाष्पशील मेमोरी, जैसे कि हार्ड ड्राइव, और कंप्यूटर में खोई हुई शक्ति से नहीं बचा है, तो सारा डेटा खो जाएगा।

सामान्य तौर पर, अस्थिर स्मृति फोरेंसिक अन्य फोरेंसिक जांच के समान पैटर्न का पालन करते हैं -

  • जांच के लक्ष्य का चयन करना
  • फोरेंसिक डेटा प्राप्त करना
  • फोरेंसिक विश्लेषण

बुनियादी volatility plugins जो Android जमाव के लिए उपयोग किए जाते हैं RAM dumpविश्लेषण के लिए। एक बार जब रैम डंप को विश्लेषण के लिए इकट्ठा किया जाता है, तो रैम में मैलवेयर के लिए शिकार करना शुरू करना महत्वपूर्ण है।

यारा नियम

YARA एक लोकप्रिय उपकरण है जो एक मजबूत भाषा प्रदान करता है, पर्ल-आधारित रेगुलर एक्सप्रेशंस के साथ संगत है, और इसका उपयोग संदिग्ध फ़ाइलों / निर्देशिकाओं और मिलान स्ट्रिंग की जांच करने के लिए किया जाता है।

इस खंड में, हम पैटर्न मिलान कार्यान्वयन के आधार पर YARA का उपयोग करेंगे और उन्हें उपयोगिता शक्ति के साथ संयोजित करेंगे। पूरी प्रक्रिया फोरेंसिक विश्लेषण के लिए फायदेमंद होगी।

उदाहरण

निम्नलिखित कोड पर विचार करें। यह कोड कोड निकालने में मदद करता है।

import operator
import os
import sys

sys.path.insert(0, os.getcwd())
import plyara.interp as interp

# Plyara is a script that lexes and parses a file consisting of one more Yara
# rules into a python dictionary representation.
if __name__ == '__main__': 
   file_to_analyze = sys.argv[1] 
   rulesDict = interp.parseString(open(file_to_analyze).read()) 
   authors = {} 
   imps = {} 
   meta_keys = {} 
   max_strings = [] 
   max_string_len = 0 
   tags = {} 
   rule_count = 0  

   for rule in rulesDict: 
      rule_count += 1  
   
   # Imports 
   if 'imports' in rule: 
      for imp in rule['imports']: 
         imp = imp.replace('"','') 
         
         if imp in imps: 
            imps[imp] += 1 
         else: 
            imps[imp] = 1  
   # Tags 
   if 'tags' in rule: 
      for tag in rule['tags']: 
         if tag in tags: 
            tags[tag] += 1 
         else: 
            tags[tag] = 1
            
   # Metadata 
   if 'metadata' in rule: 
      for key in rule['metadata']: 
         if key in meta_keys: 
            meta_keys[key] += 1
         else: 
            meta_keys[key] = 1 
         
         if key in ['Author', 'author']: 
            if rule['metadata'][key] in authors: 
               authors[rule['metadata'][key]] += 1 
            else: 
               authors[rule['metadata'][key]] = 1  

   #Strings 
   if 'strings' in rule: 
      for strr in rule['strings']: 
         if len(strr['value']) > max_string_len: 
            max_string_len = len(strr['value']) 
            max_strings = [(rule['rule_name'], strr['name'], strr['value'])] 
         elif len(strr['value']) == max_string_len: 
            max_strings.append((rule['rule_name'], strr['key'], strr['value']))  
   
   print("\nThe number of rules implemented" + str(rule_count))
   ordered_meta_keys = sorted(meta_keys.items(), key = operator.itemgetter(1),
      reverse = True)
   ordered_authors = sorted(authors.items(), key = operator.itemgetter(1), 
      reverse = True)
   ordered_imps = sorted(imps.items(), key = operator.itemgetter(1), reverse = True)
   ordered_tags = sorted(tags.items(), key = operator.itemgetter(1), reverse = True)

उपरोक्त कोड निम्नलिखित आउटपुट का उत्पादन करेगा।

कार्यान्वित YARA नियमों की संख्या संदिग्ध फ़ाइलों की बेहतर तस्वीर देने में मदद करती है। अप्रत्यक्ष रूप से, संदिग्ध फ़ाइलों की सूची फोरेंसिक के लिए उपयुक्त जानकारी जुटाने में मदद करती है।

जीथब में स्रोत कोड निम्नलिखित है: https://github.com/radhikascs/Python_yara