VolWeb:集中式增强型数字取证内存分析平台

admin
admin
admin
139598
文章
114
评论
2024年8月5日13:54:33评论13 views字数 2069阅读6分53秒阅读模式

VolWeb:集中式增强型数字取证内存分析平台

关于VolWeb
VolWeb是一款最新开发的集中式增强型数字取证内存分析平台,该平台基于Volatility 3框架实现其功能,该工具旨在辅助广大研究人员执行安全分析和事件应急响应等任务。
VolWeb:集中式增强型数字取证内存分析平台
VolWeb可以提供集中式、可视化的增强型网络应用程序,并提高安全分析人员的内存收集和取证分析效率。当研究人员从Linux或Windows系统中拿到内存镜像之后,他们就可以将数据上传到VolWeb,从而利用Volatility 3框架的功能触发功能组件对其进行自动处理和提取。通过利用云端的本地存储技术,VolWeb还允许事件响应人员使用专门的脚本与平台交互,并直接将内存镜像上传至VolWeb平台,而这些脚本主要由社区维护。
工具部署

生产环境部署

在生产环境中,VolWeb的各个组件架构与关系如下图所示:
VolWeb:集中式增强型数字取证内存分析平台
因此,我们首先需要部署好Docker和最新版本的VolWeb。关于Docker和docker-compose工具的安装,可以参考这篇【https://docs.docker.com/compose/install/】。
部署好Docker之后,广大研究人员可以直接访问该项目的【https://github.com/k1nd0ne/VolWeb/releases】下载最新版本预编译源码。
生产环境下使用VolWeb还需要一个X509证书,相关代码如下所示:
openssl genrsa > ./privkey.pemopenssl req -new -x509 -key ./privkey.pem > ./fullchain.pem
将证书拷贝到./VolWeb/docker/nginx/ssl/privkey.pem 和./VolWeb/docker/nginx/ssl/fullchain.pem即可。
接下来,我们还需要创建并配置环境变量:
cd VolWeb/dockercp .env.prod.example .envvim .env (or any text editor)
然后运行下列命令启动平台:
cd VolWeb/dockerdocker-compose up
访问https://fqdn-or-ip-of-volweb/即可开始使用VolWeb,admin和user账号的默认凭证如下:
admin:passworduser:password

本地部署

首先配置好Docker Dev环境:
cd VolWeb/dockercp .env.dev.example .envdocker-compose -f docker-compose-dev.yaml up
配置你的Python 3环境:
cd VolWebpython3 -m venv ./venvsource ./venv/bin/activatepip3 install -r requirements.txt
然后编辑venv/bin/activate,并导出下列环境变量:
export CSRF_TRUSTED_ORIGINS=http://localhost:8000/export WEBSOCKET_URL=ws://localhost:8000/export AWS_ENDPOINT_URL=http://localhost:9000/export AWS_ENDPOINT_HOST=localhost:9000export AWS_REGION=""export POSTGRES_USER=volwebexport POSTGRES_PASSWORD=volwebexport POSTGRES_DB=volwebexport DATABASE=postgresexport DATABASE_HOST=localhostexport DATABASE_PORT=5432export AWS_ACCESS_KEY_ID=userexport AWS_SECRET_ACCESS_KEY=passwordexport BROKER_HOST=localhostexport BROKER_PORT=6379
激活虚拟环境:
source ./venv/bin/activate
然后应用所有配置,并启动Web服务器:
cd VolWebsource ./venv/bin/activatepython3 manage.py makemigrationspython3 manage.py migratepython3 manage.py initadminpython3 manage.py runserver 8000

启动Celery

在一个新的终端窗口中,你需要启动一个Celery Worker来执行分析任务:
cd VolWeb/source ./venv/bin/activatecelery -A VolWeb worker --loglevel=INFO
工具运行截图
VolWeb:集中式增强型数字取证内存分析平台
VolWeb:集中式增强型数字取证内存分析平台
VolWeb:集中式增强型数字取证内存分析平台
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可协议。
项目地址
VolWeb:
https://github.com/k1nd0ne/VolWeb

原文始发于微信公众号(FreeBuf):VolWeb:集中式增强型数字取证内存分析平台

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日13:54:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VolWeb:集中式增强型数字取证内存分析平台https://cn-sec.com/archives/2768125.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息