20.txt

Методы компьютерно-технической экспертизы

Компьютерно-техническая экспертиза (КТЭ) проводится в случае нарушения безопасности или для того, чтобы подтвердить
сам факт такого нарушения. Эксперты обычно хотят получить снимок оперативной памяти атакованного устройства, чтобы 
извлечь криптографические ключи или другую хранящуюся в ней информацию. На их счастье, команда талантливых разработчиков
создала на языке Python целый фреймворк под названием Volatility, который походит для таких задач и преподносится
как передовое средство анализа памяти. Те, кто реагирует на нарушение безопасности, проводит КТЭ и анализирует вредоносное
ПО, могут применять Volatility и для целого ряда других задач, таких как исследование объектов ядра, анализ и
создание снимков памяти процесса и т.д.

Программное обеспечение Volatility предназначено для защиты, однако любой достаточно действенный инструмент можно
задействовать и для атаки. С помощью Volatility мы будем собирать сведения об интересующем нас пользователе, а затем
напишем собственные подключаемые модули для поиска слабо защищенных процессов, выполняемых в виртуальной машине (ВМ)

Представьте, что вы пробрались в компьютер и обнаружили, что пользователь работает с конфиденциальными данными
внутри ВМ. Для подстраховки на случай, если что-то пойдет не так, он, скорее всего, создает снимки ВМ. Мы применим
систему анализа памяти Volatility для исследования таких снимков и попытаемся выяснить, как используется эта ВМ и
какие процессы в ней выполняются. А также поищем потенциальные уязвимости, которые могут пригодиться в дальнейших
атаках.
Приступим!