Translate : vm_module, volatility_dsp and yara pages

This commit is contained in:
Seb2lyon 2021-05-12 19:33:14 +02:00
parent 60d63eea0c
commit 25b374e124
3 changed files with 26 additions and 27 deletions

View File

@ -1,10 +1,9 @@
/*! \page vm_extractor_page Virtual Machine Extractor Module /*! \page vm_extractor_page Virtual Machine Extractor (Extracteur de machine virtuelle)
The Virtual Machine Extractor Module adds any virtual machines it finds in a data source to the case as new data sources. This includes virtual Le module "Virtual Machine Extractor" ajoute au cas toutes les machines virtuelles qu'il trouve dans une source de données en tant que nouvelles sources de données. Cela inclut les fichiers de machines virtuelles (.vmdk) et fichiers de disque dur virtuel (.vhd). Notez que chaque disque virtuel sera extrait dans le dossier du cas.
machine disk (.vmdk) files and virtual hard drive (.vhd) files. Note that each virtual disk will be extracted to the case folder.
In the example below, the original data source "testImage.img" contained a VHD file. This VHD "alphaFiles.vhd" was added to the case as a new data source, and it was Dans l'exemple ci-dessous, la source de données d'origine "testImage.img" contenait un fichier VHD. Ce fichier "alphaFiles.vhd" a été ajouté au cas en tant que nouvelle source de données, et il a été
processed by the same ingest modules that were run on the original image. traité par les mêmes modules dacquisition que ceux exécutés sur limage dorigine.
\image html virtual_machine_extractor_results.png \image html virtual_machine_extractor_results.png

View File

@ -1,33 +1,33 @@
/*! \page volatility_dsp_page Volatility Data Source Processor /*! \page volatility_dsp_page Processeur de source de données Volatility
[TOC] [TOC]
\section Overview \section Aperçu
The Volatility data source processor runs Volatility on a memory image and saves the individual Volatility module results. If the disk image associated with the memory image is also available, it will create Interesting Item artifacts linking the Volatility results to files in the disk image. Le processeur de source de données Volatility exécute Volatility sur une image mémoire et enregistre les résultats individuels du module Volatility. Si l'image disque associée à l'image mémoire est également disponible, elle créera des artefacts d'élément intéressant reliant les résultats de Volatility aux fichiers de l'image disque.
The \ref experimental_page must be enabled to run this module. Le module \ref experimental_page doit être activé pour exécuter ce module.
\section Usage \section Usage
If you have a disk image associated with your memory image, ingest the disk image into the case first. Then go to "Add Data Source" and select "Memory Image File". Si une image disque est associée à votre image mémoire, commencez par intégrer l'image disque dans le cas. Ensuite allez sur "Add Data Source" et sélectionnez "Memory Image File".
\image html volatility_dsp_select.png \image html volatility_dsp_select.png
On the next screen, you can select your memory image and then adjust the settings to choose a profile and which Volatility plugins to run. Sur l'écran suivant, vous pouvez sélectionner votre image mémoire, puis ajuster les paramètres pour choisir un profil et les plugins de Volatility à exécuter.
\image html volatility_dsp_config.PNG \image html volatility_dsp_config.PNG
Next you'll see the ingest module configuration panel. No ingest modules will be run when using the Volatility data source processor, so simply hit the "Next" button. When it finishes, you may have some non-critical errors. These frequently come from the data source processor being unable to find files in the original disk image. If you did not add the associated disk image before running the Volatility data source processor on the memory image, there will be a large number of these errors but the Volatility module output will still be available. Ensuite, vous verrez le panneau de configuration des modules d'acquisition. Aucun module d'acquisition ne sera exécuté lors de l'utilisation du processeur de source de données Volatility, il vous suffit donc de cliquer sur le bouton "Next". Quand il se termine, vous pouvez avoir des erreurs non critiques. Celles-ci proviennent souvent du fait que le processeur de source de données est incapable de trouver des fichiers dans l'image disque d'origine. Si vous n'avez pas ajouté d'image disque associée avant d'exécuter le processeur de source de données Volatility sur l'image mémoire, il y aura un grand nombre d'erreurs mais la sortie du module Volatility sera toujours disponible.
\section Results \section Résultats
There are two types of results that come from running the Volatility data source processor: Module Output and Interesting Items (if the disk image was added). The Module Output section is found under the memory image in the tree. Il existe deux types de résultats qui proviennent de l'exécution du processeur de source de données Volatility: "Module Output" (sortie du module) et "Interesting Items" (éléments intéressants) (si l'image disque a été ajoutée). La section "Module Output" se trouve sous l'image mémoire dans l'arborescence.
\image html volatility_dsp_module_output.PNG \image html volatility_dsp_module_output.PNG
You can also view the Volatility output under "ModuleOutput/Volatility" in the Autopsy case folder. The Interesting Items link file paths found by Volatility with files in the disk image. If a disk image was not added, there will not be any Interesting Items. Vous pouvez également voir la sortie de Volatility sous "ModuleOutput/Volatility" dans le dossier du cas d'Autopsy. La section "Interesting Items" lie les chemins d'éléments trouvés par Volatility avec les fichiers de l'image disque. Si aucune image disque n'a été ajoutée, il n'y aura pas de "Interesting Items".
\image html volatility_dsp_interesting_items.PNG \image html volatility_dsp_interesting_items.PNG

View File

@ -1,23 +1,23 @@
/*! \page yara_page YARA Analyzer /*! \page yara_page YARA Analyzer (Analyseur YARA)
[TOC] [TOC]
\section yara_overview Overview \section yara_overview Aperçu
The YARA Analyzer module uses a set of rules to search files for textual or binary patterns. YARA was designed for malware analysis but can be used to search for any type of files. For more information on YARA see <a href="https://virustotal.github.io/yara/">https://virustotal.github.io/yara/</a>. Le module "YARA Analyzer" utilise un ensemble de règles pour rechercher dans les fichiers des modèles textuels ou binaires. YARA a été conçu pour l'analyse des logiciels malveillants, mais peut être utilisé pour rechercher tout type de fichiers. Pour plus d'informations sur YARA, voir <a href="https://virustotal.github.io/yara/">https://virustotal.github.io/yara/</a>.
\section yara_config Configuration \section yara_config Configuration
To create and edit your rule sets, go to "Tools", "Options" and then select the "YARA" tab. Pour créer et modifier vos ensembles de règles, allez dans "Tools", "Options" puis sélectionnez l'onglet "Yara Rule Sets".
\image html yara_options.png \image html yara_options.png
YARA rule sets are stored in folders in the user's Autopsy folder. To create a new rule set, click the "New Set" button in the lower left and enter the name for your new set. Les ensembles de règles YARA sont stockés dans les répertoires du dossier Autopsy de l'utilisateur. Pour créer un nouvel ensemble de règles, cliquez sur le bouton "New Set" en bas à gauche et saisissez le nom de votre nouvel ensemble.
\image html yara_new_rule_set.png \image html yara_new_rule_set.png
With your new rule set selected, click the "Open Folder" button to go to the newly created rules folder. You can now copy existing YARA files into this folder to include them in the rule set. Information on writing YARA rules can be found <a href="https://yara.readthedocs.io/en/stable/writingrules.html">here</a> and many existing YARA rules can be found through a web search. As a very simple example, we will add this rule to the sample rule set to find files that contain the words "hello" and "world": Une fois votre nouvel ensemble de règles sélectionné, cliquez sur le bouton "Open Folder" pour accéder au dossier de règles nouvellement créé. Vous pouvez désormais copier les fichiers YARA existants dans ce dossier pour les inclure dans l'ensemble de règles. Vous trouverez des informations sur la rédaction des règles YARA <a href="https://yara.readthedocs.io/en/stable/writingrules.html">ici</a> et de nombreuses règles YARA existantes peuvent être trouvées grâce à une recherche sur le Web. À titre d'exemple très simple, nous ajouterons cette règle à un ensemble de règles pour rechercher les fichiers contenant les mots "hello" et "world":
\verbatim \verbatim
rule HelloWorldRule rule HelloWorldRule
@ -31,19 +31,19 @@ rule HelloWorldRule
} }
\endverbatim \endverbatim
Once you've added your rules to the folder, click the "Refresh File List" button to show them in the options panel. Une fois que vous avez ajouté vos règles au dossier, cliquez sur le bouton "Refresh File List" pour les afficher dans le panneau d'options.
\section yara_running Running the Module \section yara_running Exécution du module
To enable the YARA Analyzer ingest module select the checkbox in the \ref ingest_configure "Ingest Modules configuration screen". Pour activer le module d'acquisition YARA Analyzer, cochez la case dans l'\ref ingest_configure "écran de configuration des modules d'acquisition (Configure Ingest Modules)".
\image html yara_ingest_settings.png \image html yara_ingest_settings.png
Make sure all rule sets you want to run are checked. You can also choose between running on all files or only running on executable files. Assurez-vous que tous les ensembles de règles que vous souhaitez exécuter sont cochés. Vous pouvez également choisir de les appliquer sur tous les fichiers ou uniquement sur des fichiers exécutables.
\section yara_results Viewing Results \section yara_results Affichage des résultats
Results are show in the Results tree under "Extracted Content". Les résultats sont affichés dans l'arborescence sous "Extracted Content".
\image html yara_results.png \image html yara_results.png