Python Forensics - Memoria e analisi forense
In questo capitolo, ci concentreremo sullo studio della memoria volatile con l'aiuto di Volatility, un framework forense basato su Python applicabile sulle seguenti piattaforme: Android e Linux.
Memoria volatile
La memoria volatile è un tipo di memoria in cui i contenuti vengono cancellati quando il sistema viene spento o interrotto. La RAM è il miglior esempio di memoria volatile. Significa che se stavi lavorando su un documento che non è stato salvato in una memoria non volatile, come un disco rigido, e il computer ha perso l'alimentazione, tutti i dati andranno persi.
In generale, le indagini forensi sulla memoria volatile seguono lo stesso schema di altre indagini forensi -
- Selezione del target dell'indagine
- Acquisizione di dati forensi
- Analisi forense
La base volatility plugins che vengono utilizzati per Android raccoglie RAM dumpper l'analisi. Una volta che il dump della RAM viene raccolto per l'analisi, è importante iniziare a cercare malware nella RAM.
Regole YARA
YARA è uno strumento popolare che fornisce un linguaggio robusto, è compatibile con le espressioni regolari basate su Perl e viene utilizzato per esaminare i file / directory sospetti e le stringhe di corrispondenza.
In questa sezione, utilizzeremo YARA in base all'implementazione del pattern matching e li combineremo con l'alimentazione di rete. Il processo completo sarà utile per l'analisi forense.
Esempio
Considera il codice seguente. Questo codice aiuta a estrarre il codice.
import operator
import os
import sys
sys.path.insert(0, os.getcwd())
import plyara.interp as interp
# Plyara is a script that lexes and parses a file consisting of one more Yara
# rules into a python dictionary representation.
if __name__ == '__main__':
file_to_analyze = sys.argv[1]
rulesDict = interp.parseString(open(file_to_analyze).read())
authors = {}
imps = {}
meta_keys = {}
max_strings = []
max_string_len = 0
tags = {}
rule_count = 0
for rule in rulesDict:
rule_count += 1
# Imports
if 'imports' in rule:
for imp in rule['imports']:
imp = imp.replace('"','')
if imp in imps:
imps[imp] += 1
else:
imps[imp] = 1
# Tags
if 'tags' in rule:
for tag in rule['tags']:
if tag in tags:
tags[tag] += 1
else:
tags[tag] = 1
# Metadata
if 'metadata' in rule:
for key in rule['metadata']:
if key in meta_keys:
meta_keys[key] += 1
else:
meta_keys[key] = 1
if key in ['Author', 'author']:
if rule['metadata'][key] in authors:
authors[rule['metadata'][key]] += 1
else:
authors[rule['metadata'][key]] = 1
#Strings
if 'strings' in rule:
for strr in rule['strings']:
if len(strr['value']) > max_string_len:
max_string_len = len(strr['value'])
max_strings = [(rule['rule_name'], strr['name'], strr['value'])]
elif len(strr['value']) == max_string_len:
max_strings.append((rule['rule_name'], strr['key'], strr['value']))
print("\nThe number of rules implemented" + str(rule_count))
ordered_meta_keys = sorted(meta_keys.items(), key = operator.itemgetter(1),
reverse = True)
ordered_authors = sorted(authors.items(), key = operator.itemgetter(1),
reverse = True)
ordered_imps = sorted(imps.items(), key = operator.itemgetter(1), reverse = True)
ordered_tags = sorted(tags.items(), key = operator.itemgetter(1), reverse = True)
Il codice precedente produrrà il seguente output.
Il numero di regole YARA implementate aiuta a fornire un'immagine migliore dei file sospetti. Indirettamente, l'elenco dei file sospetti aiuta a raccogliere informazioni appropriate per la scientifica.
Di seguito è riportato il codice sorgente in GitHub: https://github.com/radhikascs/Python_yara