ابزار volatility
این نرم افزار یک نرم افزار open source و چهار چوبی برای جرم یابی حافظه به منظور انجام فعالیت incident response و malware analysis میباشد. این نرم افزار هم سیستم عامل ویندوز و هم لینوکس را پشتیبانی میکند. یکی از راه های بازسازی (Reconstruction) حافظه، پیمایش درخت و لیست میباشد، این نرم افزار یکی از نرم افزارهایی است که برای این منظور قابل استفاده میباشد.
ابزار volatility قابلیت استخراج از فرآیندهای در حال اجرا، سوکتهای باز شبکه، DLLهای بارگذاری شده برای هر فرآیند، ماژولهای kernel سیستم عامل، استخراج اطلاعات PE، استخراج System call tables (IDT، GDT، SSDT)، استخراج API hooks در دو حالت user- and kernel-mode (inline، IAT، EAT، NT syscall، winsock)، دستگيره هاي رجيستري باز شده براي پردازه، ماژول هاي كرنل و غيره از كپي حافظه مي باشد و با فرمت هاي مختلف رونوشت از جمله فرمت خام، رونوشت شكست و فايل hibernation کار می کند. این ابزار ارائه گزارش بر روی سرویسهای ویندوز و بسیاری دیگر از این قبیل موارد را دارا میباشد.در این ابزار به هنگام كار روي كپي حافظه يك سيستم، نسخه ي سيستم عامل بايد دقيق مشخص شود؛ چرا كه ساختارهاي مورد استفاده براي تعيين پردازه ها و نخ ها در حافظه بين نسخه هاي سيستم عامل ويندوز متفاوت است. حتي نسخه هاي يكسان با سرويس پك هاي متفاوت داراي ساختارهاي متفاوتي می باشند. بيشتر ابزارهاي تحليل رونوشت حافظه از جملهVolatility قادر به شناسايي سيستم عامل رونوشت حافظه هستند.دستور ImageInfo اطلاعات پایه ای درباره ی رو نوشت حافظه می دهد. یکی از اطلاعات با ارزش این دستور پروفایل پیشنهادی است که برای اجرای صحیح سایر دستورات باید به عنوان پارامتر به آن پاس شود.