Tổng quan
Bộ xử lý nguồn dữ liệu Volatility chạy Volatility trên hình ảnh bộ nhớ và lưu kết quả mô-đun Volatility riêng lẻ. Nếu hình ảnh đĩa được liên kết với hình ảnh bộ nhớ cũng có sẵn, sẽ tạo ra các tạo tác Mục liên kết với kết quả Volatility và các tệp trong hình ảnh đĩa.
Mô -đun Experimental phải được bật để chạy mô-đun này.
Bật mô-đun Experimental
Để bắt đầu, hãy chuyển đến Công cụ-> Trình cắm và chọn tab “Đã cài đặt”, sau đó chọn hộp bên cạnh “Thử nghiệm” hay Experimental và nhấp vào “Kích hoạt” và chuyển qua một vài màn hình tiếp theo. Không cần phải khởi động lại.
Cách sử dụng
Nếu bạn có hình ảnh đĩa được liên kết với hình ảnh bộ nhớ của mình, trước tiên hãy nhập hình ảnh đĩa vào hộp. Sau đó vào “Thêm Nguồn Dữ liệu” và chọn “Tệp Hình ảnh Bộ nhớ”.
Trên màn hình tiếp theo, bạn có thể chọn hình ảnh bộ nhớ của mình và sau đó điều chỉnh cài đặt để chọn cấu hình và các plugin Volatility để chạy.
Tiếp theo, bạn sẽ thấy bảng cấu hình mô-đun nhập. Sẽ không có mô-đun nhập nào được chạy khi sử dụng bộ xử lý nguồn dữ liệu Volatility , vì vậy chỉ cần nhấn vào nút “Tiếp theo”. Khi kết thúc, bạn có thể mắc một số lỗi không nghiêm trọng. Những điều này thường xuất phát từ việc bộ xử lý nguồn dữ liệu không thể tìm thấy các tệp trong ảnh đĩa gốc. Nếu bạn không thêm hình ảnh đĩa được liên kết trước khi chạy bộ xử lý nguồn dữ liệu Volatility trên hình ảnh bộ nhớ, sẽ có một số lượng lớn các lỗi này nhưng đầu ra mô-đun Volatility sẽ vẫn khả dụng.
Kết quả
Có hai loại kết quả đến từ việc chạy bộ xử lý nguồn dữ liệu Volatility : Đầu ra mô-đun và Các mục thú vị (nếu hình ảnh đĩa đã được thêm vào). Phần Đầu ra Mô-đun được tìm thấy dưới hình ảnh bộ nhớ trong cây.
Bạn cũng có thể xem đầu ra Biến động trong “Mô-đun Output / Volatility ” trong thư mục Trường hợp pháp y số. Các đường dẫn tệp liên kết Mục thú vị được tìm thấy bởi Volatility với các tệp trong hình ảnh đĩa. Nếu hình ảnh đĩa không được thêm vào, sẽ không có bất kỳ Mục thú vị nào.
Tham khảo Autopsy
học an toàn & bảo mật thông tin 