dit document beschrijft de werking van Volatility, een memory forensics framework

• afhankelijk van het OS waarop je dump nam
• overzicht: vol.py --info
• Windows minidump (.dmp) worden (nog) niet ondersteund.

• analyseren verschillende componenten van de dump
• overzicht: vol.py --info

1. bepaal het profiel (OS) van je memory dumpfile: time vol.py -f <dumpfile> imageinfo
time commando staat er -ter info- bij, omdat deze stap wel wat kan duren.
   Als je geen beweging ziet, doen dan even een top. Zolang het RAM/CPU verbruikt, is het bezig. Vooral de CPU krijgt het wat zwaar te verduren, precies.

verder …

voeg hier linken toe naar verdere uitleg