Framework Volatility.

Cadre open source d'analyse forensique de la memoire cree a l'origine par Aaron Walters et la Volatility Foundation, qui permet d'extraire des artefacts numeriques d'images de memoire volatile (RAM). Cette notion relève de la catégorie Forensique et réponse en cybersécurité.

Cadre open source d'analyse forensique de la memoire cree a l'origine par Aaron Walters et la Volatility Foundation, qui permet d'extraire des artefacts numeriques d'images de memoire volatile (RAM).

Volatility est la boite a outils open source de reference pour l'analyse forensique de la memoire. Publie initialement en 2007 par Aaron Walters et d'autres sous le nom de Volatility Project, il est aujourd'hui maintenu par la Volatility Foundation. Il analyse les captures brutes de memoire (dumps RAM, fichiers d'hibernation, pagefiles, snapshots VMware/VirtualBox) sous Windows, Linux et macOS. Les enqueteurs l'utilisent pour enumerer les processus, les connexions reseau, les DLL chargees, les ruches du registre, les modules du noyau et les indicateurs de rootkits, bien apres l'arret du systeme. Volatility 2 est ecrit en Python 2 et fut longtemps la reference ; Volatility 3, sorti en 2020, est une reecriture en Python 3 avec gestion automatisee des symboles. Il est un composant central des playbooks de reponse a incident et est largement utilise dans le triage de malwares et les investigations APT.

Les défenses contre Framework Volatility combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Volatility, vol.py, Volatility 3.