Frage zu Volatility

[DerW]

Hallo ,

stimmt. Da der „Next Generation TCP/IP-Stack“ ab Vista/Windows Server 2008 verwendet wird, funktionieren die alten Befehle nicht mehr. Es gibt aber für diese Plattformen den Befehl „netscan“, den du nutzen kannst.
Welche Links meinst du? Allgemein kannst du die Standalone-Version genauso wie die Python-Version nutzen, wobei die Python-Version teils ein wenig aktueller ist.

 

[Chef32]

Hallo!

Vielen Dank, dass du mir geantwortet hast!

Welche Links meinst du? Allgemein kannst du die Standalone-Version genauso wie die Python-Version nutzen, wobei die Python-Version teils ein wenig aktueller ist.

Die Links hier im Thread, die du mir damals gepostet hast. Allerdinsg habe ich festgestellt, dass es doch geht, also netscan oder connhost.

Folgender Syntax:

volatility -f Dateiname.img --profile="Winxx" Befehl

So hat es funktioniert. Bisher war es, glaube ich,so, dass nicht zwingend das Prfil angegeben werden musste.

Bei der Analyse hat sich herausgestellt, dass keine seltsanem Verbindungen zu Servern aufgebaut wurden. Ich habe die IP Adressen alle getstet. Darunter M$, Facebook (Irland), mein ISP und z.b. auch ebay - wahrschienlich habe ich vor dem Dump auf ebay gesurft. Alledings, wenn während des Dumps der IE geschlossen war, wioe kann dann eine Verb. zu ebay oder FB aufgebaut werden?

Edit: Wieso gibt es bei volatility eig. keinen kompletten Syntax Befehl, um die Nutzng zu verdeutlichen? Also so in etwa wie von mir dargestellt.

Edit: Gibt es eine Möglichkeit, die IP Adressen, die aufgefürt werden, autom. auflösen zu lassen? Also alle auf einmal?

 

[DerW]

Bisher war es, glaube ich,so, dass nicht zwingend das Prfil angegeben werden musste.

Kommt immer auf den Befehl an, einige (wenige) gehen auch ohne Profil. In der Regel ist es aber eine gute Idee das Profil mit anzugeben, weil du damit direkt vorgibst, wo der Befehl in der Datei suchen muss, so dass die Suche schneller geht bzw. in vielen Fällen überhaupt funktioniert.

Alledings, wenn während des Dumps der IE geschlossen war, wioe kann dann eine Verb. zu ebay oder FB aufgebaut werden?

Nicht vergessen, du arbeitest mit einem Speicherabbild, nicht mit einem Live-System. Einige Artefakte bleiben noch für eine ganze Weile im Speicher und können dann von Volatility ausgelesen werden. Deswegen ist es auch ein wenig gefährlich, wenn man einen Prozess einer oder zwei der verschiedenen Suchmethoden nicht sieht direkt von einem Rootkit auszugehen, denn oft genug wurden einfach die entsprechenden Speicherbereiche zu unterschiedlichen Zeiten wieder überschrieben.

Edit: Wieso gibt es bei volatility eig. keinen kompletten Syntax Befehl, um die Nutzng zu verdeutlichen? Also so in etwa wie von mir dargestellt.

Gibt’s doch, vol.py -h oder verstehe ich die Frage falsch?

Edit: Gibt es eine Möglichkeit, die IP Adressen, die aufgefürt werden, autom. auflösen zu lassen? Also alle auf einmal?

Aus Volatility heraus wüsste ich aus dem Stegreif nichts, aber du kannst das natürlich mit ein wenig Shellskript/Python o. ä. nachtragen.