Abstract:
В данной работе будет рассмотрен Volatility Framework и его ключевые
возможности, связанные с анализом оперативной памяти. Будут продемонстрированы
примеры использования плагинов, связанных с выявлением аномалий в процессах,
закрепившихся в оперативной памяти, анализ подгруженных dll-файлов и их указателей, а
также исследование оперативной памяти на предмет внедренного кода. Более того, в данной
статье рассмотрены правила Yara Rules, а также скрипты на Python, позволяющие
автоматизировать процесс анализа памяти. Результатом исследования станет создание набора
автоматизации на базе Python, которые позволят автоматизировать рутинные задачи по
анализу оперативной памяти, для ускорения процесса расследования кибератак и повышения
его точности.
