Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).
Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:
Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem
Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem
Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem
Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem
Untuk Analisa Malware dan Mengesan Rootkit
volatility.exe psscan -f C:\memdump.mem
Untuk Senaraikan Semua DLL Untuk Semua Proses Yang Ada
volatility.exe dlllist -f C:\memdump.mem
Untuk Senaraikan Semua DLL Untuk Proses Tertentu Sahaja
volatility.exe dlllist -p <PID> -f C:\memdump.mem
Untuk Senaraikan Proses Dalam Bentuk Tree
volatility.exe pstree -f C:\memdump.mem
Untuk Mencari Mana-mana Process Yang Menggunakan Cmd
volatility.exe consoles -f C:\memdump.mem
Keluar dan Simpankan Semua Fail DLL
volatility.exe dlldump -D <destinasi direktori> -f C:\memdump.mem
Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/
Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.
Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.
Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/
