Volatility

Volatility
Versão estável	2.6 (30 de dezembro de 2016; há 7 anos)
Escrito em	Python
Sistema operacional	Windows, Mac OS X, Linux
Gênero(s)	Forense digital
Licença	GNU General Public License
Página oficial	www.volatilityfoundation.org

Volatility é uma estrutura forense de memória de código aberto para resposta a incidentes e análise de malware. Está escrito em Python e suporta Microsoft Windows, Mac OS X e Linux (a partir da versão 2.5^[1]).

Volatility foi criada pelo cientista da computação e empresário Aaron Walters, com base em pesquisas acadêmicas que ele fez em memória forense.^[2]^[3]

Sistemas Operacionais Suportados[editar | editar código-fonte]

O Volatility suporta investigações das seguintes imagens de memória:

Windows:

Windows XP 32 bits (Service Pack 2 e 3)
Windows 2003 Server 32 bits (Service Pack 0, 1, 2)
Windows Vista 32 bits (Service Pack 0, 1, 2)
Windows 2008 Server 32 bits (Service Pack 1, 2)
Windows 7 32 bits (Service Pack 0, 1)
Windows 8, 8.1, e 8.1 Update 1 32 bits
Windows 10 32 bits (suporte inicial)
Windows XP 64 bits (Service Pack 1 e 2)
Windows 2003 Server 64 bits (Service Pack 1 e 2)
Windows Vista 64 bits (Service Pack 0, 1, 2)
Windows 2008 Server 64 bits (Service Pack 1 e 2)
Windows 2008 R2 Server 64 bits (Service Pack 0 e 1)
Windows 7 64 bits (Service Pack 0 2 1)
Windows 8, 8.1, 2 8.1 Update 1 64 bits
Windows Server 2012 e 2012 R2 64 bits
Windows 10 64 bits (incluindo pelo menos 10.0.14393)
Windows Server 2016 64 bits (incluindo pelo menos 10.0.14393.0)

Mac OSX:

10.5.x Leopard 32 bits (o único 64 bits 10.5 é o Server, que não é suportado)
10.6.x Snow Leopard 32 bits
10.7.x Lion 32 bits
10.6.x Snow Leopard 64 bits
10.7.x Lion 64 bits
10.8.x Mountain Lion 64 bits
10.9.x Mavericks 64 bits
10.10.x Yosemite 64 bits
10.11.x El Capitan 64 bits
10.12.x Sierra 64 bits

Linux:

Linux kernels 2.6.11 a 4.2.3 32 bits
Linux kernels 2.6.11 a 4.2.3 64 bits
OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc.

Formatos de Memória Suportados[editar | editar código-fonte]

Raw/Padded Physical Memory
Firewire (IEEE 1394)
Expert Witness (EWF)
Despejo de Falha (Crash Dump) do Windows de 32 e 64 bits
Hibernação do Windows de 32 e 64 bits (a partir do Windows 7 ou anterior)
Arquivos Mach-O de 32 e 64 bits
Despejos de Núcleo (Core Dumps) do Virtualbox
Saved State (.vmss) e Snapshot (.vmsn) do VMware
Formato HPAK (FastDump)
Despejos de memória do QEMU
Formato LiME

Referências

↑ http://www.volatilityfoundation.org/#!25/c1f29
↑ Petroni, N. L., Walters, A., Fraser, T., & Arbaugh, W. A. (2006). FATKit: A framework for the extraction and analysis of digital forensic data from volatile system memory. Digital Investigation, 3(4), 197-210.
↑ Walters, A., & Petroni, N. L. (2007). Volatools: Integrating Volatile Memory into the Digital Investigation Process. Black Hat Briefings DC 2007, 1-18.

[1] ttp://www.volatilityfoundation.org/#!25/c1f29

[2] Petroni, N. L., Walters, A., Fraser, T., & Arbaugh, W. A. (2006). FATKit: A framework for the extraction and analysis of digital forensic data from volatile system memory. Digital Investigation, 3(4), 197-210.

[3] Walters, A., & Petroni, N. L. (2007). Volatools: Integrating Volatile Memory into the Digital Investigation Process. Black Hat Briefings DC 2007, 1-18.

[1]

[2]

[3]