O Volatility Framework é uma coleção completa de ferramentas open source implementadas em Python sob a licença GPL, para a extração de artefatos digitais da memória volátil (RAM). As técnicas de extração são executadas de forma completamente independente do sistema que está sendo executado e pode fornecer uma visibilidade sem precedentes do estado de execução do sistema.
Este Framework visa principalmente introduzir as pessoas às técnicas e complexidades associadas com a extração de artefatos digitais da memória volátil e prover uma plataforma estável para trabalhar com esta excitante área que é a de Research.
The Volatility Framework provê as seguintes features para volatile memory extraction:
- Image date and time
- Running processes
- Open network sockets
- Open network connections
- DLLs loaded for each process
- Open files for each process
- Open registry handles for each process
- A process’ addressable memory
- OS kernel modules
- Mapping physical offsets to virtual addresses (strings to process)
- Virtual Address Descriptor information
- Scanning examples: processes, threads, sockets, connections,modules
- Extract executables from memory samples
- Transparently supports a variety of sample formats (ie, Crash dump, Hibernation, DD)
- Automated conversion between formats
O Volatility framework executa em qualquer plataforma onde o Python environment estiver disponível. Ele foi testado com sucesso nas seguintes plataformas:
- Linux
- Cygwin
- Windows
- OSX 10.5 (Thanks: sam f. stover)
Os desenvolvedores solicitam que caso você teste o framework em outras plataformas além das citadas acima com sucesso, para enviar o case para volatility@volatilesystems.com
Maiores informações:
https://www.volatilesystems.com/default/volatility – Site do Projeto
ROOTSECURITY 