PassioniInformaticaSicurezza

Guida: Analisi forense con Volatility e Autopsy

17/02/2026

Digital Forensics su Linux

Strumenti per analisi forense di dischi e memoria in caso di incidenti di sicurezza.

1. Volatility — analisi della memoria RAM

# Identifica il profilo
volatility -f memory.dump imageinfo

# Lista processi
volatility -f memory.dump --profile=LinuxDebian pslist

# Connessioni di rete
volatility -f memory.dump --profile=LinuxDebian netscan

# Comandi eseguiti
volatility -f memory.dump --profile=LinuxDebian bash

2. Autopsy — analisi disco

  1. Avvia Autopsy: autopsy
  2. Crea un caso e aggiungi l’immagine disco
  3. Analizza: file cancellati, timeline, keyword search
  4. Genera report per documentazione

3. Acquisizione immagini

# Immagine disco con dd
dd if=/dev/sda of=disk.img bs=4M status=progress

# Con hash per integrità
md5sum disk.img > disk.img.md5

# Dump memoria (se possibile)
avml /tmp/memory.dump

4. Timeline analysis

# Crea timeline con fls
fls -r -m / disk.img > bodyfile.txt

# Converti in timeline
mactime -b bodyfile.txt -d > timeline.csv

Risultato: Capacità di analisi forense per investigare incidenti di sicurezza.

← Guida: Web Application Firewall (ModSecurity) c... Guida: Hardening Apache — checklist di sicurezza →
← Torna all'elenco