Avanceret kriminalteknisk ramme for hukommelse

Volatility Framework er en fuldstændig åben samling af værktøjer for udtrækningen af digitale artefakter fra flygtige hukommelsesprøver (RAM). Det er nyttigt i kriminaltekniske analyse. Udtrækningsteknikker udføres fuldstændig uafhængigt af systemet under undersøgelse men tilbyder uovertruffen synlighed i kørselstidstilstanden for systemet.

Volatility understøtter hukommelsesdump fra alle væsentlige 32-bit og 64-bit Windows-versioner og opdateringspakker. Om dit hukommelsesdump er i råt format, et Microsoft-crashdump, hibernation-fil eller et øjebliksbillede for en virtuel maskine så kan Volatility arbejde med det.

Hukommelsesdump for Linux i rå format eller LiME-format er også understøttet. Der er flere udvidelsesmoduler for analyse af hukommelsesdump fra 32- og 64-bit Linuxkerner og relevante distributioner såsom Debian, Ubuntu, openSUSE, RedHat, Fedora, CentOS, Mandriva, etc.

Volatility understøtter også flere versioner af Mac OSX-hukommelsesdump, både 32- og 64-bit. Androidtelefoner med ARM-processorer er også understøttet.

Dette er nogle af de data, som kan udtrækkes fra et hukommelsesaftryk:

 - Billedinformation (dato, tid, CPU-antal)
 - Kørende processer
 - Åbne netværkssokler og forbindelser
 - OS-kernemoduler indlæst
 - Hukommelseskort for hver proces
 - Kørbare eksempler
 - Kommandohistorik
 - Mistænkelige procesoversættelser (f.eks indskudt kode)
 - Adgangskoder, som LM/NTLM-hasher og LSA-hemmeligheder
 - Mellemlagrede Truecrypt-adgangsfraser
 - Andre

Nuværende versioner (2.6) understøtter undersøgelser af hukommelsesaftryk fra disse operativsystemer:

 - 32-bit Windows XP Service Pack 2 og 3
 - 32-bit Windows 2003 Server Service Pack 0, 1, 2
 - 32-bit Windows Vista Service Pack 0, 1, 2
 - 32-bit Windows 2008 Server Service Pack 1, 2 (der er ingen SP0)
 - 32-bit Windows 7 Service Pack 0, 1
 - 32-bit Windows 8, 8.1 og 8.1 Update 1
 - 32-bit Windows 10 (oprindelig understøttelse)
 - 64-bit Windows XP Service Pack 1 og 2 (der er ingen SP0)
 - 64-bit Windows 2003 Server Service Pack 1 og 2 (der er ingen SP0)
 - 64-bit Windows Vista Service Pack 0, 1, 2
 - 64-bit Windows 2008 Server Service Pack 1 og 2 (der er ingen SP0)
 - 64-bit Windows 2008 R2 Server Service Pack 0 og 1
 - 64-bit Windows 7 Service Pack 0 og 1
 - 64-bit Windows 8, 8.1 og 8.1 Update 1
 - 64-bit Windows Server 2012 og 2012 R2
 - 64-bit Windows 10 (inklusive mindst 10.0.14393)
 - 64-bit Windows Server 2016 (inklusive mindst 10.0.14393.0)
 - 32--bit Linuxkerner fra 2.6.11 to 4.2.3
 - 64--bit Linuxkerner fra 2.6.11 to 4.2.3
 - 32-bit 10.5.x Leopard (den eneste 64-bit 10.5 er Server, som
   ikke er understøttet)
 - 32-bit 10.6.x Snow Leopard
 - 64-bit 10.6.x Snow Leopard
 - 32-bit 10.7.x Lion
 - 64-bit 10.7.x Lion
 - 64-bit 10.8.x Mountain Lion (der er ingen 32-bit version)
 - 64-bit 10.9.x Mavericks (der er ingen 32-bit version)
 - 64-bit 10.10.x Yosemite (der er ingen 32-bit version)
 - 64-bit 10.11.x El Capitan (der er ingen 32-bit version)
 - 64-bit 10.12.x Sierra (der er ingen 32-bit version)
 .

Volatility understøtter en række prøvefilformater:

 - Raw lineær prøve (dd)
 - Hibernationfil (fra Windows 7 og tidligere)
 - Crash dump-fil
 - VirtualBox ELF64-kernedump
 - VMware-gemt tilstand og øjebliksbilleder
 - EWF-format (E01)
 - LiME-format
 - Mach-O-filformat
 - QEMU-virtuelle maskinedump
 - Firewire
 - HPAK (FDPro)

This page is also available in the following languages (How to set the default document language):