Es gibt ein neues Tool für die Analyse von Windows-Speicherabbildern: Volatility. Auf den ersten Blick erinnert es an Volatools, und doch ist vieles neu.
Die Ähnlichkeit ist nicht wirklich überraschend, denn das Projekt steht unter der Leitung von AAron Walters, der zusammen mit Nick L. Petroni auch die Volatools entwickelte.
Nun aber zu den Neuigkeiten. Während Volatools noch auf eine proprietäre Bibliothek aufsetzten, ist Volatility vollständig quelloffen. Das Programmpaket enthält jetzt auch Routinen, die in Speicherabbildern nach Spuren von Prozessen, Threads und Netzwerkaktivität suchen. Ebenfalls integriert sind bereits die VADtools von Brendan Dolan-Gavitt.
Wie auch schon der Vorläufer, so ist Volatility auf die Analyse von Microsoft Windows XP SP2 und Speicherabbilder im dd-Format beschränkt.
Das Programmpaket ist in Python geschrieben und benötigt deshalb einen ebenfalls kostenlos erhältlichen Python Interpreter.
