O Volatility Framework é uma coleção completa de ferramentas open source implementadas em Python sob a licença GPL, para a extração de artefatos digitais da memória volátil (RAM). As técnicas de extração são executadas de forma completamente independente do sistema que está sendo executado e pode fornecer uma visibilidade sem precedentes do estado de execução do sistema.

Este framework visa principalmente introduzir as pessoas às técnicas e complexidades associadas com a extração de artefatos digitais da memória volátil e prover uma plataforma estável para trabalhar com esta excitante área, que é a de Research.

Capabilities

The Volatility Framework provê as seguintes features para volatile memory extraction:

• Image date and time
• Running processes
• Open network sockets
• Open network connections
• DLLs loaded for each process
• Open files for each process
• Open registry handles for each process
• A process' addressable memory
• OS kernel modules
• Mapping physical offsets to virtual addresses (strings to process)
• Virtual Address Descriptor information
• Scanning examples: processes, threads, sockets, connections,modules
• Extract executables from memory samples
• Transparently supports a variety of sample formats (ie, Crash dump, Hibernation, DD)
• Automated conversion between formats

Plataformas suportadas

O Volatility framework executa em qualquer plataforma onde o Python environment estiver disponível. Ele foi testado com sucesso nas seguintes plataformas:

• Linux
• Cygwin
• Windows
• OSX 10.5 (Thanks: sam f. stover)

Os desenvolvedores solicitam que caso você teste o framework em outras plataformas além das citadas acima com sucesso, para enviar o case para volatility@volatilesystems.com.

Maiores informações

• Site do Projeto
• RootSecurity Labs