freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

VolWeb:集中式增强型数字取证内存分析平台
  • 关注
VolWeb:集中式增强型数字取证内存分析平台
2024-05-13 18:37:54

关于VolWeb

VolWeb是一款最新开发的集中式增强型数字取证内存分析平台,该平台基于Volatility 3框架实现其功能,该工具旨在辅助广大研究人员执行安全分析和事件应急响应等任务。

VolWeb可以提供集中式、可视化的增强型网络应用程序,并提高安全分析人员的内存收集和取证分析效率。当研究人员从Linux或Windows系统中拿到内存镜像之后,他们就可以将数据上传到VolWeb,从而利用Volatility 3框架的功能触发功能组件对其进行自动处理和提取。通过利用云端的本地存储技术,VolWeb还允许事件响应人员使用专门的脚本与平台交互,并直接将内存镜像上传至VolWeb平台,而这些脚本主要由社区维护。

工具部署

生产环境部署

在生产环境中,VolWeb的各个组件架构与关系如下图所示:

因此,我们首先需要部署好Docker和最新版本的VolWeb。关于Docker和docker-compose工具的安装,可以参考这篇【文档】。

部署好Docker之后,广大研究人员可以直接访问该项目的【Releases页面】下载最新版本预编译源码。

生产环境下使用VolWeb还需要一个X509证书,相关代码如下所示:

openssl genrsa > ./privkey.pem

openssl req -new -x509 -key ./privkey.pem > ./fullchain.pem

将证书拷贝到./VolWeb/docker/nginx/ssl/privkey.pem 和./VolWeb/docker/nginx/ssl/fullchain.pem即可。

接下来,我们还需要创建并配置环境变量:

cd VolWeb/docker

cp .env.prod.example .env

vim .env (or any text editor)

然后运行下列命令启动平台:

cd VolWeb/docker

docker-compose up

访问https://fqdn-or-ip-of-volweb/即可开始使用VolWeb,admin和user账号的默认凭证如下:

admin:password

user:password

本地部署

首先配置好Docker Dev环境:

cd VolWeb/docker

cp .env.dev.example .env

docker-compose -f docker-compose-dev.yaml up

配置你的Python 3环境:

cd VolWeb

python3 -m venv ./venv

source ./venv/bin/activate

pip3 install -r requirements.txt

然后编辑venv/bin/activate,并导出下列环境变量:

export CSRF_TRUSTED_ORIGINS=http://localhost:8000/

export WEBSOCKET_URL=ws://localhost:8000/

 

export AWS_ENDPOINT_URL=http://localhost:9000/

export AWS_ENDPOINT_HOST=localhost:9000

export AWS_REGION=""

 

export POSTGRES_USER=volweb

export POSTGRES_PASSWORD=volweb

export POSTGRES_DB=volweb

 

export DATABASE=postgres

export DATABASE_HOST=localhost

export DATABASE_PORT=5432

 

export AWS_ACCESS_KEY_ID=user

export AWS_SECRET_ACCESS_KEY=password

 

export BROKER_HOST=localhost

export BROKER_PORT=6379

激活虚拟环境:

source ./venv/bin/activate

然后应用所有配置,并启动Web服务器:

cd VolWeb

source ./venv/bin/activate

python3 manage.py makemigrations

python3 manage.py migrate

python3 manage.py initadmin

python3 manage.py runserver 8000

启动Celery

在一个新的终端窗口中,你需要启动一个Celery Worker来执行分析任务:

cd VolWeb/

source ./venv/bin/activate

celery -A VolWeb worker --loglevel=INFO

工具运行截图

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

VolWeb:【GitHub传送门

参考资料

https://docs.docker.com/compose/install/

# 安全分析 # 数字取证 # 取证分析 # 内存取证 # 安全应急响应
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于VolWeb
    工具部署
    • 生产环境部署
    • 本地部署
    • 启动Celery
    工具运行截图
      许可证协议
        项目地址
          参考资料