W temacie analizy pamięci nie było jeszcze wpisów, a to jeden z gorących (od dobrych kilku lat) tematów. Co prawda, nie każdy będzie zainteresowany i zdecydowanie nie dla każdego jest ten typ analizy przydatny. Zdaje sobie jednak sprawę, ze każdy kto zajmuje się Incident Response i część ludzi pracujących w Security albo chce, albo musi ten temat ruszyć.  Kilka dni temu pojawiła sie nowa wersja tego środowiska i ma wszelkie znamiona przełomu.

Dla osób nowych w temacie. Volatility to środowisko, które pozwala na analizę obrazów pamięci komputerowej. Całość jest stworzona w języku Python i ma charakter open-source. Volatility jest oparta o pluginy, które potrafią wydobyć i przeanalizować wybrane struktury danych znajdujące sie w pamięci komputerowej, np. wylistować procesy czy wątki, ale też znaleźć moduły związane z procesami czy ‘zrzucić’ dany fragment pamięci na dysk w celu umożliwienia analizy innymi narzędziami. Każdy, przy odpowiedniej wiedzy może stworzyć w tej platformie własne pluginy.

A zatem, co nowego w Volatility 2.0?

• przede wszystkim więcej zaawansowanych pluginów przydatnych przy analizie złośliwego oprogramowania
• zmiany w kierunku łatwiejszego korzystania z platformy, m.in. wersja stand-alone działają w cmd w Windowsie
• możliwość analizy obrazów pamięci z Windows Vista, 7, Server 2003 i 2008
• wiele zmian i udogodnień deweloperskich

Jeśli chodzi o darmowe narzędzia, Volatility nie ma właściwie rywali. Natomiast sami twórcy twierdzą, ze bez problemu jest w stanie rywalizować z komercyjnym oprogramowaniem (np. HBGary) czy wręcz że komercyjna konkurencja kopiuje ich rozwiązania.

Volatility można ściągnąć z tego miejsca:  http://code.google.com/p/volatility/downloads/list

A oficjalny blog prowadzony przez twórców jest tutaj: http://volatility.tumblr.com/