Czym jest Volatility?

Volatility to zaawansowany, otwartoźródłowy framework do analizy zrzutów pamięci RAM (tzw. memory forensics). Kiedy dochodzi do incydentu bezpieczeństwa, “twardy” dysk to tylko część historii. Pamięć RAM zawiera ulotny, ale niezwykle cenny obraz tego, co działo się w systemie w momencie ataku.

Volatility pozwala analitykom “wejść” do zamrożonego stanu pamięci i odtworzyć działające procesy, otwarte połączenia sieciowe, załadowane moduły jądra, a nawet odzyskać fragmenty danych, które nigdy nie zostały zapisane na dysku. Jest to jedno z najważniejszych narzędzi w dziedzinie Digital Forensics and Incident Response (DFIR).