Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Русский
Entry № 1210

Volatility Framework

Что такое Volatility Framework?

Volatility FrameworkОткрытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM).

Volatility Framework — это де-факто стандартный набор инструментов с открытым исходным кодом для форензики оперативной памяти. Проект был выпущен в 2007 году Аароном Уолтерсом и коллегами как Volatility Project и сейчас сопровождается фондом Volatility Foundation. Он разбирает «сырые» снимки памяти (дампы RAM, файлы гибернации, файлы подкачки, снимки VMware/VirtualBox) для Windows, Linux и macOS. Исследователи используют его для перечисления процессов, сетевых соединений, загруженных DLL, кустов реестра, модулей ядра и признаков руткитов даже спустя продолжительное время после выключения системы. Volatility 2 написан на Python 2 и долгое время был стандартом; Volatility 3 выпущен в 2020 году и переписан на Python 3 с автоматической обработкой символов. Это ключевой компонент IR-плейбуков и широко применяется при сортировке вредоносного ПО и расследованиях APT.

Примеры

  1. 01

    Запуск 'vol.py windows.pslist' против полученного образа памяти для перечисления процессов и обнаружения техники process hollowing.

  2. 02

    Использование 'windows.malfind' для извлечения областей инжектированного шеллкода в ходе расследования ransomware-инцидента.

Частые вопросы

Что такое Volatility Framework?

Открытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM). Относится к категории Криминалистика и реагирование в кибербезопасности.

Что означает Volatility Framework?

Открытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM).

Как работает Volatility Framework?

Volatility Framework — это де-факто стандартный набор инструментов с открытым исходным кодом для форензики оперативной памяти. Проект был выпущен в 2007 году Аароном Уолтерсом и коллегами как Volatility Project и сейчас сопровождается фондом Volatility Foundation. Он разбирает «сырые» снимки памяти (дампы RAM, файлы гибернации, файлы подкачки, снимки VMware/VirtualBox) для Windows, Linux и macOS. Исследователи используют его для перечисления процессов, сетевых соединений, загруженных DLL, кустов реестра, модулей ядра и признаков руткитов даже спустя продолжительное время после выключения системы. Volatility 2 написан на Python 2 и долгое время был стандартом; Volatility 3 выпущен в 2020 году и переписан на Python 3 с автоматической обработкой символов. Это ключевой компонент IR-плейбуков и широко применяется при сортировке вредоносного ПО и расследованиях APT.

Как защититься от Volatility Framework?

Защита от Volatility Framework обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Volatility Framework?

Распространённые альтернативные названия: Volatility, vol.py, Volatility 3.

Связанные термины