Volatility Memory Forensics Framework ialah pakej utiliti yang digunakan untuk menganalisa hasil memory dump (dalam bentuk fail). Ini termasuk menganalisa fail proses, Windows Registry, sistem dan fail-fail pengguna.

Ia amat berguna bagi seorang juruanalisa komputer untuk mendapat maklumat terperinci samada untuk tujuan mencari malware atau mendapatkan bukti-bukti tertentu (dalam perspektif forensik).

Volatility ini boleh didapati dalam dua versi iaitu dalam bentuk skrip Python atau program Exe. Berikut antara arahan yang boleh digunakan:

Untuk Melihat Maklumat Image
volatility.exe imageinfo -f C:\memdump.mem

Untuk Menyenaraikan Maklumat Proses Sistem
volatility.exe --profile=Win8SP1x64 pslist -f C:\memdump.mem

Untuk Mengetahui Dengan Tetap Profile Volatility Yang Sesuai
volatility.exe kdbgscan -f C:\memdump.mem

Untuk Mengetahui Struktur Kernel Processor Control Region (KPCR)
volatility.exe kpcrscan -f C:\memdump.mem

volatility.exe dlldump -D <destinasi direktori> -f C:\memdump.mem

Ianya menyokong pelbagai platform sistem operasi. Boleh dimuat turun disini:
http://www.volatilityfoundation.org/

Gambarajah 1: Penggunaan arahan 'pslist' untuk menyenaraikan sistem proses yang pernah dilaksanakan.

Gambarajah 2: Menunjukkan antara senarai arahan yang menyokong analisa memory dari sistem operasi Linux dan Macintosh.