VolWeb:集中式增强型数字取证内存分析平台

2024-06-03 395 0

关于VolWeb

VolWeb是一款最新开发的集中式增强型数字取证内存分析平台,该平台基于Volatility 3框架实现其功能,该工具旨在辅助广大研究人员执行安全分析和事件应急响应等任务。

VolWeb可以提供集中式、可视化的增强型网络应用程序,并提高安全分析人员的内存收集和取证分析效率。当研究人员从Linux或Windows系统中拿到内存镜像之后,他们就可以将数据上传到VolWeb,从而利用Volatility 3框架的功能触发功能组件对其进行自动处理和提取。通过利用云端的本地存储技术,VolWeb还允许事件响应人员使用专门的脚本与平台交互,并直接将内存镜像上传至VolWeb平台,而这些脚本主要由社区维护。

工具部署

生产环境部署

在生产环境中,VolWeb的各个组件架构与关系如下图所示:

因此,我们首先需要部署好Docker和最新版本的VolWeb。关于Docker和docker-compose工具的安装,可以参考这篇【文档】。

部署好Docker之后,广大研究人员可以直接访问该项目的【Releases页面】下载最新版本预编译源码。

生产环境下使用VolWeb还需要一个X509证书,相关代码如下所示:

openssl genrsa > ./privkey.pem

openssl req -new -x509 -key ./privkey.pem > ./fullchain.pem

将证书拷贝到./VolWeb/docker/nginx/ssl/privkey.pem 和./VolWeb/docker/nginx/ssl/fullchain.pem即可。

接下来,我们还需要创建并配置环境变量:

cd VolWeb/docker

cp .env.prod.example .env

vim .env (or any text editor)

然后运行下列命令启动平台:

cd VolWeb/docker

docker-compose up

访问https://fqdn-or-ip-of-volweb/即可开始使用VolWeb,admin和user账号的默认凭证如下:

admin:password

user:password

本地部署

首先配置好Docker Dev环境:

cd VolWeb/docker

cp .env.dev.example .env

docker-compose -f docker-compose-dev.yaml up

配置你的Python 3环境:

cd VolWeb

python3 -m venv ./venv

source ./venv/bin/activate

pip3 install -r requirements.txt

然后编辑venv/bin/activate,并导出下列环境变量:

export CSRF_TRUSTED_ORIGINS=http://localhost:8000/

export WEBSOCKET_URL=ws://localhost:8000/

 

export AWS_ENDPOINT_URL=http://localhost:9000/

export AWS_ENDPOINT_HOST=localhost:9000

export AWS_REGION=""

 

export POSTGRES_USER=volweb

export POSTGRES_PASSWORD=volweb

export POSTGRES_DB=volweb

 

export DATABASE=postgres

export DATABASE_HOST=localhost

export DATABASE_PORT=5432

 

export AWS_ACCESS_KEY_ID=user

export AWS_SECRET_ACCESS_KEY=password

 

export BROKER_HOST=localhost

export BROKER_PORT=6379

激活虚拟环境:

source ./venv/bin/activate

然后应用所有配置,并启动Web服务器:

cd VolWeb

source ./venv/bin/activate

python3 manage.py makemigrations

python3 manage.py migrate

python3 manage.py initadmin

python3 manage.py runserver 8000

启动Celery

在一个新的终端窗口中,你需要启动一个Celery Worker来执行分析任务:

cd VolWeb/

source ./venv/bin/activate

celery -A VolWeb worker --loglevel=INFO

工具运行截图

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

VolWeb:【GitHub传送门

参考资料

https://docs.docker.com/compose/install/


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论