Фреймворк с полностью открытым кодом, предоставляющий собой набор Python-инструментов для извлечения цифровых артефактов из энергонезависимой памяти (RAM). Это может пригодиться при расследовании инцидентов или просто при исследовании работы программы с критичными данными (например, с номерами платежных карт). На сегодняшний день программа поддерживает следующие платформы: Linux, Windows, OS X.
Список того что может извлечь Volatility:
— дату и время;
— список запущенных процессов;
— список открытых сетевых сокетов;
— список открытых сетевых соединений;
— список загруженных DLL для каждого процесса;
— имена открытых файлов для каждого процесса;
— адресуемую память;
— модули ядра ОС;
— маппинг физических смещений на виртуальные адреса и многое другое.
Инструкция:
Требуется установленный Python, версии не ниже 2.6
https://www.volatilityfoundation.org — официальный сайт
https://github.com/volatilityfoundation/volatility/wiki — Вики на github
https://github.com/volatilityfoundation/volatility/wiki/Installation — установка