Volatilitux est un framework d'analyse forensique permettant d'extraire des informations à partir d'un dump de la mémoire physique (RAM) d'un système Linux.

Il vise à pallier le manque d'outils dans ce domaine ; les deux outils principaux étant pour le moment Volatility, qui ne fonctionne que pour les dumps Windows, et draugr, une initiative d'Anthony Desnos.

Volatilitux

Volatilitux est un framework d'analyse forensique permettant d'extraire des informations à partir d'un dump de la mémoire physique (RAM) d'un système Linux. Il vise à pallier le manque d'outils dans ce domaine ; les deux outils principaux étant pour le moment Volatility, qui ne fonctionne que pour les dumps Windows, et draugr, une initiative d'Anthony Desnos.

Volatilitux gère les dumps provenant d'architectures suivantes :

  • ARM
  • x86
  • x86 avec PAE

Il supporte pour le moment les commandes suivantes :

  • pslist: affiche la liste des processus tournant sur le système au moment de l'acquisition
  • memmap: affiche la cartographie mémoire d'un processus
  • memdmp: dumpe la mémoire d'un processus
  • filelist: affiche les fichiers ouverts
  • filedmp: dumpe un fichier

En tant que framework, Volatilitux peut facilement être étendu en ajoutant de nouvelles commandes et architectures supportées.

L'outil est capable de détecter automatiquement les offsets des structures principales du noyau Linux grâce à un algorithme basé sur la recherche exhaustive et l'élagage par heuristique. Il est également possible de détecter manuellement ces offsets grâce à un module noyau (LKM) et d'exporter la configuration dans un fichier XML.

L'outil a principalement été testé sur des dumps provenant des OS suivants :

  • Android 2.1
  • Fedora 5 and 8
  • Debian 5
  • CentOS 5

Pour plus de détails, référez-vous à cet article (en Anglais).