VolWeb 是一个利用Volatility 3 框架功能的数字取证内存分析平台。它致力于协助调查和事件响应。
客观的
VolWeb 的目标是通过为事件响应人员和数字取证调查人员提供集中、可视化且功能增强的 Web 应用程序来提高内存收集和取证分析的效率。一旦调查人员从 Linux 或 Windows 系统获取内存图像,就可以将证据上传到 VolWeb,这会触发使用 Volatility 3 框架的强大功能自动处理和提取工件。通过利用云原生存储技术,VolWeb 还允许事件响应人员使用与平台交互并由社区维护的专用脚本从各个位置将内存图像直接上传到 VolWeb 平台。另一个目标是允许用户编译技术信息(例如指标),这些信息随后可以导入到 OpenCTI 等现代 CTI 平台中,从而在调查后将您的事件响应和 CTI 团队联系起来。
项目文档和入门指南
项目文档可在Wiki上找到。在那里,您将能够在您的调查环境或实验室中部署该工具。[!IMPORTANT] 请花时间阅读文档以避免常见的配置错误问题。
与 REST API 交互
VolWeb 公开了一个 REST API,允许分析师与平台进行交互。有一个专门的存储库,其中包含一些由社区维护的脚本:https://github.com/forensicxlab/VolWeb-Scripts 查看项目的 wiki 以了解有关可能的 API 调用的更多信息。问题
如果您遇到了错误,或者希望提出功能,请随时打开问题。为了使我们能够快速解决这些问题,请按照与项目相关的 Wiki 中“贡献”部分中的指南进行操作。接触
如果对本工具有任何疑问,请通过[email protected]与我联系。下一版本目标
查看路线图:https://github.com/k1nd0ne/VolWeb/projects/1下载 VolWeb