Кратко: Volatility — фреймворк для извлечения артефактов из дампов оперативной памяти (RAM). В памяти хранятся пароли, запущенные процессы, сетевые соединения и следы уже закрытых программ. Volatility позволяет заглянуть в этот «слепок», не включая компьютер. Незаменим для расследования инцидентов (DFIR) и анализа вредоносного ПО.

▫️ Как дошли до жизни такой 2007 г. — Основан проект Volatility. Идея: анализировать память, потому что злоумышленники научились прятаться в RAM (fileless malware). 2012 г. — Volatility 2 становится мировым стандартом. Использует профили — базы данных о структурах ядра ОС. 2019 г. — Volatility 3 на Python 3. Отказ от профилей в пользу динамического анализа символов. К 2026 году Volatility 3 — официальный стандарт.

▫️ Как работает Вы даёте сырой дамп. Volatility: 1. Распознаёт ОС через плагин windows.info или linux.banner. 2. Применяет слой трансляции — преобразует виртуальные адреса в физические. 3. Накладывает символьную таблицу — «карту» структур данных (список процессов, таблица файлов). Символьные таблицы (ISF) — главное отличие Volatility 3. Она сама скачивает их для большинства Windows-образов. Для Linux символы нужно генерировать вручную через dwarf2json.

▫️ Что можно найти (Боевые плагины) Разведка: vol -f memory.dmp windows.info # ОС, время запуска

Процессы: vol -f memory.dmp windows.pslist # Активные процессы vol -f memory.dmp windows.pstree # Дерево процессов vol -f memory.dmp windows.psscan # Скрытые/убитые процессы

Сеть: vol -f memory.dmp windows.netscan # Сетевые соединения, порты

Дамп процесса: vol -f memory.dmp windows.memdump --pid 1234 --dump-dir ./output/

Поиск по YARA: vol -f memory.dmp yarascan.YaraScan --yara-rules ./rules.yar

▫️ Где применяется Расследование инцидентов: Из дампа памяти вытаскивают IP-адрес C2-сервера, к которому стучался вирус (через netscan). Анализ вредоносного ПО: Запускают вирус в лаборатории, делают дамп и смотрят, что он скрывает в куче (плагин HeapList для Windows 11). Охота за угрозами: Проверяют дампы на наличие руткитов (linux.check_syscall).

▫️ Культурный феномен · Volatility 2 vs 3 — холивар форензик-сообщества. 2 удобна старыми плагинами, 3 — архитектурной мощью. · «Профили умерли, да здравствуют символы» — стало сложнее, но точнее. · DFIR (Digital Forensics and Incident Response) — без Volatility невозможен профессиональный анализ инцидентов.

▫️ Современное положение (2026) Volatility 3 активно развивается. Появляются новые плагины (например, HeapList для Windows 11). Это обязательный инструмент в любой лаборатории для анализа вредоносного ПО. Главный вывод: Volatility доказывает, что даже хитрый вирус, не оставляющий следов на диске, наследил в оперативной памяти.

#volatility #форензика #dfir #анализпамяти #кибербезопасность #расследование