Volatility
context
dit document beschrijft de werking van Volatility, een memory forensics framework
profiles
- afhankelijk van het OS waarop je dump nam
- overzicht:
vol.py --info - Windows minidump (.dmp) worden (nog) niet ondersteund.
modules
- analyseren verschillende componenten van de dump
- overzicht:
vol.py --info
werking
- bepaal het profiel (OS) van je memory dumpfile:
time vol.py -f <dumpfile> imageinfo
timecommando staat er -ter info- bij, omdat deze stap wel wat kan duren.
Als je geen beweging ziet, doen dan even eentop. Zolang het RAM/CPU verbruikt, is het bezig. Vooral de CPU krijgt het wat zwaar te verduren, precies.
verder …
meer info
voeg hier linken toe naar verdere uitleg