अस्थिरता - क्लाउड में ऑनलाइन

यह कमांड अस्थिरता है जिसे हमारे कई मुफ्त ऑनलाइन वर्कस्टेशन जैसे कि उबंटू ऑनलाइन, फेडोरा ऑनलाइन, विंडोज ऑनलाइन एमुलेटर या मैक ओएस ऑनलाइन एमुलेटर का उपयोग करके ऑनवर्क्स फ्री होस्टिंग प्रदाता में चलाया जा सकता है।

कार्यक्रम:

नाम


अस्थिरता - उन्नत मेमोरी फोरेंसिक ढांचा

SYNOPSIS


अस्थिरता [विकल्प]
अस्थिरता -f [की छवि] --प्रोफाइल=[प्रोफ़ाइल] [लगाना]

वर्णन


अस्थिरता फ्रेमवर्क निष्कर्षण के लिए उपकरणों का एक पूरी तरह से खुला संग्रह है
अस्थिर मेमोरी (रैम) नमूनों से डिजिटल कलाकृतियाँ। यह फोरेंसिक विश्लेषण में उपयोगी है।
निष्कर्षण तकनीकें सिस्टम से पूरी तरह स्वतंत्र रूप से निष्पादित की जाती हैं
जांच की गई लेकिन सिस्टम की रनटाइम स्थिति में अभूतपूर्व दृश्यता प्रदान की गई।

अस्थिरता MS Windows, Linux और MAC OSX के कई संस्करणों का समर्थन करती है:

एमएस विंडोज़:

· 32-बिट विंडोज एक्सपी सर्विस पैक 2 और 3

· 32-बिट विंडोज़ 2003 सर्वर सर्विस पैक 0, 1, 2

· 32-बिट विंडोज़ विस्टा सर्विस पैक 0, 1, 2

· 32-बिट विंडोज़ 2008 सर्वर सर्विस पैक 1, 2 (कोई SP0 नहीं है)

· 32-बिट विंडोज 7 सर्विस पैक 0, 1

· 32-बिट विंडोज़ 8, 8.1, और 8.1 अपडेट 1

· 32-बिट विंडोज़ 10 (प्रारंभिक समर्थन)

· 64-बिट Windows XP सर्विस पैक 1 और 2 (कोई SP0 नहीं है)

· 64-बिट विंडोज़ 2003 सर्वर सर्विस पैक 1 और 2 (कोई SP0 नहीं है)

· 64-बिट विंडोज़ विस्टा सर्विस पैक 0, 1, 2

· 64-बिट विंडोज़ 2008 सर्वर सर्विस पैक 1 और 2 (कोई SP0 नहीं है)

· 64-बिट विंडोज़ 2008 आर2 सर्वर सर्विस पैक 0 और 1

· 64-बिट विंडोज 7 सर्विस पैक 0 और 1

· 64-बिट विंडोज़ 8, 8.1, और 8.1 अपडेट 1

· 64-बिट विंडोज सर्वर 2012 और 2012 R2

· 64-बिट विंडोज़ 10 (प्रारंभिक समर्थन)

लिनक्स:

· 32-बिट लिनक्स कर्नेल 2.6.11 से 4.2.3

· 64-बिट लिनक्स कर्नेल 2.6.11 से 4.2.3

· ओपनएसयूएसई, उबंटू, डेबियन, सेंटओएस, फेडोरा, मैंड्रिवा, आदि

मैक ओएस एक्स:

· 32-बिट 10.5.x लेपर्ड (केवल 64-बिट 10.5 सर्वर है, जो समर्थित नहीं है)

· 32-बिट 10.6.x हिम तेंदुआ

· 64-बिट 10.6.x हिम तेंदुआ

· 32-बिट 10.7.x लायन

· 64-बिट 10.7.x लायन

· 64-बिट 10.8.x माउंटेन लायन (कोई 32-बिट संस्करण नहीं है)

· 64-बिट 10.9.x मावेरिक्स (कोई 32-बिट संस्करण नहीं है)

· 64-बिट 10.10.x योसेमाइट (कोई 32-बिट संस्करण नहीं है)

· 64-बिट 10.11.x एल कैपिटन (कोई 32-बिट संस्करण नहीं है)

समर्थित मेमोरी प्रारूप हैं:

· कच्चा रैखिक नमूना (डीडी)

· हाइबरनेशन फ़ाइल

· क्रैश डंप फ़ाइल

· वर्चुअलबॉक्स ELF64 कोर डंप

· VMware ने स्थिति और स्नैपशॉट फ़ाइलों को सहेजा

· EWF प्रारूप (E01)

· LiME (लिनक्स मेमोरी एक्सट्रैक्टर) प्रारूप

· मैक-ओ फ़ाइल स्वरूप

· QEMU वर्चुअल मशीन डंप

· फायरवायर

· एचपीएके (एफडीपीआरओ)

समर्थित पता स्थान (RAM प्रकार) हैं:

· AMD64PgedMemory - मानक AMD 64-बिट पता स्थान

· आर्मएड्रेसस्पेस - एआरएम प्रोसेसर के लिए पता स्थान

· फाइलएड्रेसस्पेस - यह एक सीधी फाइल एएस है

· एचपीएकेएड्रेसस्पेस - यह एएस एचपीएके प्रारूप का समर्थन करता है

· IA32PgedMemoryPae - यह क्लास IA-32 PAE पेजिंग एड्रेस स्पेस को लागू करता है।
यह जिम्मेदार है

· IA32PgedMemory - मानक IA-32 पेजिंग पता स्थान

· लाइमएड्रेसस्पेस - लाइम के लिए पता स्थान

· मैकओएड्रेसस्पेस - एटीसी-एनवाई मेमोरी का समर्थन करने के लिए मैक-ओ फ़ाइलों के लिए पता स्थान
पाठक

· OSXPmemELF - यह AS वर्चुअलबॉक्स ELF64 coredump प्रारूप का समर्थन करता है

· QemuCoreDumpElf - यह AS Qemu ELF32 और ELF64 coredump प्रारूप का समर्थन करता है

· वर्चुअलबॉक्सकोरडंपएल्फ़64 - यह एएस वर्चुअलबॉक्स ईएलएफ64 कोरडंप प्रारूप का समर्थन करता है

· VMWareAddressSpace - यह AS VMware स्नैपशॉट (VMSS) और सहेजी गई स्थिति का समर्थन करता है
(वीएमएसएस) फ़ाइलें

· VMWareMetaAddressSpace - यह AS VMSN/VMSS के साथ VMEM प्रारूप का समर्थन करता है
मेटाडेटा

· WindowsCrashDumpSpace32 - यह AS विंडोज़ क्रैश डंप प्रारूप का समर्थन करता है

· WindowsCrashDumpSpace64BitMap - यह AS Windows बिटमैप क्रैश डंप का समर्थन करता है
प्रारूप

· WindowsCrashDumpSpace64 - यह AS विंडोज़ क्रैश डंप प्रारूप का समर्थन करता है

· WindowsHiberFileSpace32 - यह विंडोज़ के लिए एक हाइबरनेट एड्रेस स्पेस है
हाइबरनेशन फ़ाइलें

यहां परीक्षणों के लिए अनुकरणीय स्मृति छवियां हैं
https://github.com/volatilityfoundation/अस्थिरता/विकी/मेमोरी-नमूने।

विकल्प


-एच, --मदद
सभी उपलब्ध विकल्पों और उनके डिफ़ॉल्ट मानों की सूची बनाएं। डिफ़ॉल्ट मान सेट किए जा सकते हैं
कॉन्फ़िगरेशन फ़ाइल (/etc/volatilityrc)।

--conf-file=/root/.volatilityrc
उपयोगकर्ता आधारित कॉन्फ़िगरेशन फ़ाइल.

-डी, - दाढ़
डिबग अस्थिरता.

--प्लगइन्स=प्लगइन्स
अतिरिक्त लगाना उपयोग करने के लिए निर्देशिकाएँ (कोलन अलग)।

--जानकारी सभी पंजीकृत वस्तुओं के बारे में जानकारी प्रिंट करें।

--कैश-निर्देशिका=/रूट/.कैश/अस्थिरता
निर्देशिका जहां कैश फ़ाइलें संग्रहीत की जाती हैं।

--कैश
कैशिंग का प्रयोग करें.

--tz=TZ
pytz (यदि स्थापित है) या tzset का उपयोग करके टाइमस्टैम्प प्रदर्शित करने के लिए समय क्षेत्र सेट करें

-f फ़ाइल का नाम, --फ़ाइलनाम=फ़ाइलनाम
फ़ाइल खोलते समय उपयोग किया जाने वाला फ़ाइल नाम की छवि.

--प्रोफ़ाइल=WinXPSP2x86
लोड करने के लिए प्रोफ़ाइल का नाम (उपयोग करें)। --जानकारी समर्थित प्रोफाइल की सूची देखने के लिए)।

-l जगह, --स्थान=स्थान
एक यूआरएन स्थान जहां से पता स्थान लोड करना है।

-डब्ल्यू, --लिखो
लेखन समर्थन सक्षम करें.

--dtb=डीटीबी
डीटीबी पता.

--शिफ्ट=शिफ्ट
मैक KASLR शिफ्ट पता।

--आउटपुट=टेक्स्ट
इस प्रारूप में आउटपुट.

--आउटपुट-फ़ाइल=OUTPUT_FILE
इस फ़ाइल में आउटपुट लिखें.

-में, --शब्दशः
शब्दशः जानकारी.

-g केडीबीजी, --kdbg=KDBG
एक विशिष्ट KDBG वर्चुअल पता निर्दिष्ट करें। 64-बिट विंडोज 8 और उससे ऊपर के लिए यह है
KdCopyDataBlock का पता।

--बल
संदिग्ध प्रोफ़ाइल का बल प्रयोग.

-k केपीसीआर, --kpcr=Kपीसीआर
एक विशिष्ट केपीसीआर पता निर्दिष्ट करें।

--कुकी=कुकी
nt!ObHeaderCookie का पता निर्दिष्ट करें (केवल विंडोज़ 10 के लिए मान्य)।

प्लगइन्स और प्रोफाइल


समर्थित लगाना यदि '$' कमांड का उपयोग किया जाए तो कमांड और प्रोफाइल देखी जा सकती हैं
अस्थिरता --जानकारी'. ध्यान दें कि Linux और MAC OSX अनुमत प्लगइन्स में 'linux_' होगा
और 'मैक_' उपसर्ग। इन उपसर्गों के बिना प्लगइन्स MS Windows के लिए डिज़ाइन किए गए थे।

प्रोफ़ाइल वोलैटिलिटी द्वारा परिचालन प्रणालियों को समझने के लिए उपयोग किए जाने वाले मानचित्र हैं। अनुमत एमएस
विंडोज़ प्रोफ़ाइल अस्थिरता द्वारा प्रदान की जाती हैं।

आपको Linux और MAC OSX के लिए अपनी स्वयं की प्रोफ़ाइल बनानी होगी। इसके लिए डेबियन सिस्टम पर पढ़ें
README.Debian फ़ाइल द्वारा प्रदान की गई अस्थिरता-उपकरण पैकेज.

एमएस विंडोज़ पर, ओएस प्रकार निर्धारित करने के लिए, आप इसका उपयोग कर सकते हैं:

$अस्थिरता-एफ छवि जानकारी

or

$अस्थिरता-एफ kdbgscan

वातावरण चर


जीएनयू/लिनक्स या ओएस एक्स सिस्टम पर, ये वेरिएबल सेट किए जा सकते हैं:

· VOLATILITY_PROFILE - एक प्रोफ़ाइल को डिफ़ॉल्ट के रूप में उपयोग करने के लिए निर्दिष्ट करता है
अनावश्यक '--प्रोफाइल' विकल्प.

· VOLATILITY_LOCATION - का पथ निर्दिष्ट करता है की छवि. तो, अस्थिरता आदेश
'के माध्यम से फ़ाइल नाम की आवश्यकता नहीं होगी-f' विकल्प.

· VOLATILITY_KDBG - एक KDBG पता निर्दिष्ट करता है। अधिक जानकारी के लिए अतिरिक्त प्रक्रियाएँ देखें
विवरण।

अन्य लगाना झंडे का उपयोग इस तरह से किया जा सकता है, उदाहरण के लिए केपीसीआर, डीटीबी या प्लगइन्स। कब
चर निर्यात करते समय, बस ध्वज नाम से पहले VOLATILITY_ उपसर्ग लगाएं (उदाहरण के लिए)।
अस्थिरता_केपीसीआर)। अन्यथा, इसे जोड़ते समय ध्वज का नाम वही रहता है
विन्यास फाइल।

यदि आपके पास नाम में रिक्त स्थान या अधिक वाला पथ है, तो रिक्त स्थान को %20 से प्रतिस्थापित किया जाना चाहिए
इसके बजाय (जैसे LOCATION=file:///tmp/my%20image.img)।

उदाहरण:

$ निर्यात VOLATILITY_PROFILE=Win7SP0x86
$ निर्यात VOLATILITY_LOCATION=फ़ाइल:///tmp/myimage.img
$ निर्यात अस्थिरता_KDBG=0x82944c28

विन्यास फ़ाइलें


कॉन्फ़िगरेशन फ़ाइलें आमतौर पर वर्तमान निर्देशिका में 'volatilityrc' होती हैं या
'~/.अस्थिरताrc' उपयोगकर्ता की होम निर्देशिका में, या उपयोगकर्ता द्वारा निर्दिष्ट पथ पर, का उपयोग करके --conf-
पट्टिका विकल्प. फ़ाइल सामग्री का एक उदाहरण नीचे दिखाया गया है:

[चूक]
प्रोफ़ाइल=Win7SP0x86
स्थान=फ़ाइल: ///tmp/myimage.img
KDBG=0x82944c28

अन्य लगाना झंडे का उपयोग इस तरह से किया जा सकता है, उदाहरण के लिए केपीसीआर, डीटीबी या प्लगइन्स। कब
चर निर्यात करते समय, बस ध्वज नाम से पहले VOLATILITY_ उपसर्ग लगाएं (उदाहरण के लिए)।
अस्थिरता_केपीसीआर)। अन्यथा, इसे जोड़ते समय ध्वज का नाम वही रहता है
विन्यास फाइल।

यदि आपके पास नाम में रिक्त स्थान या अधिक वाला पथ है, तो रिक्त स्थान को %20 से प्रतिस्थापित किया जाना चाहिए
इसके बजाय (जैसे LOCATION=file:///tmp/my%20image.img)।

अतिरिक्त प्रक्रियाओं


समयक्षेत्र निर्धारित करना

मेमोरी से निकाले गए टाइमस्टैम्प या तो सिस्टम-स्थानीय समय में या यूनिवर्सल टाइम में हो सकते हैं
निर्देशांक (यूटीसी)। यदि वे यूटीसी में हैं, तो अस्थिरता को उन्हें एक समय में प्रदर्शित करने का निर्देश दिया जा सकता है
विश्लेषक के चयन का क्षेत्र. समयक्षेत्र चुनने के लिए, मानक समयक्षेत्र में से किसी एक का उपयोग करें
नाम (जैसे अमेरिका/साओ_पाउलो, यूरोप/लंदन, यूएस/पूर्वी या अधिकांश ओल्सन समयक्षेत्र) के साथ
--tz=TIMEZONE ध्वज.

यदि स्थापित है तो अस्थिरता pytz का उपयोग करने का प्रयास करती है, अन्यथा यह tzset का उपयोग करती है।

कृपया ध्यान दें कि समयक्षेत्र निर्दिष्ट करने से सिस्टम-स्थानीय समय प्रदर्शित होने के तरीके पर कोई प्रभाव नहीं पड़ेगा। अगर
आप एक ऐसे समय की पहचान करते हैं जिसके बारे में आप जानते हैं कि यह यूटीसी-आधारित है, कृपया इसे इश्यू ट्रैकर में एक इश्यू के रूप में दर्ज करें।
डिफ़ॉल्ट रूप से _EPROCESS CreateTime और ExitTime टाइमस्टैम्प UTC में हैं।

डीटीबी सेट करना

डीटीबी (डायरेक्टरी टेबल बेस) वह है जिसका उपयोग अस्थिरता आभासी पते को भौतिक में अनुवाद करने के लिए करती है
पते. डिफ़ॉल्ट रूप से, कर्नेल DTB का उपयोग किया जाता है (निष्क्रिय/सिस्टम प्रक्रिया से)। यदि आप a का उपयोग करना चाहते हैं
डेटा तक पहुँचते समय विभिन्न प्रक्रियाओं का DTB, --dtb=ADDRESS को पता प्रदान करता है।

केडीबीजी पता सेट करना (यह केवल विंडोज़ है विकल्प)

हार्ड-कोडित हस्ताक्षर "KDBG" का उपयोग करके '_KDDEBUGGER_DATA64' संरचना के लिए अस्थिरता स्कैन और
विवेक जांच की एक श्रृंखला। ये हस्ताक्षर ऑपरेटिंग सिस्टम के कार्य करने के लिए महत्वपूर्ण नहीं हैं
ठीक से, इस प्रकार मैलवेयर उन उपकरणों को नष्ट करने के प्रयास में उन्हें अधिलेखित कर सकता है जिन पर भरोसा है
हस्ताक्षर। इसके अतिरिक्त, कुछ मामलों में एक से अधिक '_KDDEBUGGER_DATA64' (के लिए) हो सकते हैं
उदाहरण के लिए, यदि आप एक प्रमुख OS अद्यतन लागू करते हैं और रीबूट नहीं करते हैं), जिससे भ्रम पैदा हो सकता है और परिणाम बढ़ सकते हैं
अन्य समस्याओं के अलावा ग़लत प्रक्रिया और मॉड्यूल सूचीकरण भी शामिल है। अगर आपको पता मालूम है
'_KDDEBUGGER_DATA64' जोड़ें, आप इसे --kdbg=ADDRESS के साथ निर्दिष्ट कर सकते हैं और यह स्वचालित को ओवरराइड करता है
स्कैन. अधिक जानकारी के लिए, kdbgscan प्लगइन देखें।

केपीसीआर पता सेट करना (यह केवल विंडोज़ है)। विकल्प)

एक सिस्टम पर प्रत्येक सीपीयू के लिए एक केपीसीआर (कर्नेल प्रोसेसर कंट्रोल रीजन) होता है। कुछ अस्थिरता
प्लगइन्स प्रति-प्रोसेसर जानकारी प्रदर्शित करते हैं। इस प्रकार यदि आप किसी विशिष्ट सीपीयू के लिए डेटा प्रदर्शित करना चाहते हैं
उदाहरण के लिए सीपीयू 3 के बजाय सीपीयू 1, आप उस सीपीयू के केपीसीआर के पते को --kpcr=ADDRESS के साथ पास कर सकते हैं।
सभी सीपीयू के लिए केपीसीआर का पता लगाने के लिए, केपीसीआरस्कैन प्लगइन देखें। यह भी ध्यान रखें कि अस्थिरता 2.2 से शुरू करके,
आईडीटी और जीडीटी जैसे कई प्लगइन्स केपीसीआर की सूची के माध्यम से स्वचालित रूप से पुनरावृत्त होते हैं।

लेखन समर्थन सक्षम करना

अस्थिरता में लेखन समर्थन का उपयोग सावधानी के साथ किया जाना चाहिए। इसलिए, वास्तव में इसे सक्षम करने के लिए, आपको अवश्य ही ऐसा करना होगा
कमांड-लाइन पर न केवल --write टाइप करें बल्कि आपको एक प्रश्न के उत्तर में एक 'पासवर्ड' भी टाइप करना होगा
आपको संकेत दिया जाएगा. ज्यादातर मामलों में आप लेखन समर्थन का उपयोग नहीं करना चाहेंगे क्योंकि इससे नुकसान हो सकता है
आपकी मेमोरी डंप में डेटा का भ्रष्टाचार या संशोधन। हालाँकि, विशेष मामले मौजूद हैं जो ऐसा बनाते हैं
सुविधा वास्तव में दिलचस्प है. उदाहरण के लिए, आप किसी लाइव सिस्टम को कुछ मैलवेयर से साफ़ कर सकते हैं
फायरवायर पर रैम को लिखना, या आप बाइट्स को पैच करके लॉक किए गए वर्कस्टेशन में सेंध लगा सकते हैं
विनलॉगऑन डीएलएल।

अतिरिक्त निर्दिष्ट करना लगाना निर्देशिकाओं

अस्थिरता का प्लगइन आर्किटेक्चर एक साथ कई निर्देशिकाओं से प्लगइन फ़ाइलों को लोड कर सकता है। में
अस्थिरता स्रोत कोड, अधिकांश प्लगइन्स अस्थिरता/प्लगइन्स में स्थित होते हैं। हालाँकि, एक और भी है
निर्देशिका (अस्थिरता/योगदान) जो तृतीय पक्ष डेवलपर्स के योगदान के लिए आरक्षित है, या
कमजोर रूप से समर्थित प्लगइन्स जो डिफ़ॉल्ट रूप से सक्षम नहीं हैं। इन प्लगइन्स तक पहुंचने के लिए आपको बस
कमांड-लाइन पर --plugins=contrib/plugins टाइप करें। यह आपको एक अलग निर्देशिका बनाने में भी सक्षम बनाता है
आपके अपने प्लगइन्स जिन्हें आप कोर में फ़ाइलों को जोड़ने/हटाने/संशोधित किए बिना प्रबंधित कर सकते हैं
अस्थिरता निर्देशिकाएँ.

टिप्पणियाँ:

* डेबियन सिस्टम पर, योगदान/प्लगइन्स निर्देशिका /usr/share/volatility/contrib/plugins पर है।

* जब तक __init__.py फ़ाइल है (जो खाली हो सकती है) तब तक उपनिर्देशिकाओं का भी पता लगाया जाएगा।
उनके भीतर।

* --प्लगइन्स का पैरामीटर एक ज़िप फ़ाइल भी हो सकता है जिसमें प्लगइन्स शामिल हों
जैसे --plugins=myplugins.zip. जिस तरह से प्लगइन्स लोड किए जाते हैं, उसके कारण बाहरी प्लगइन्स निर्देशिका
या ज़िप फ़ाइल को किसी भी प्लगइन-विशिष्ट तर्क (नाम सहित) से पहले निर्दिष्ट किया जाना चाहिए
लगाना)। उदाहरण:

$ अस्थिरता --प्लगइन्स=contrib/प्लगइन्स -f XPSP3x86.vmem उदाहरण

आउटपुट स्वरूप चुनना

डिफ़ॉल्ट रूप से, प्लगइन्स मानक आउटपुट के लिए टेक्स्ट रेंडरर्स का उपयोग करते हैं। यदि आप किसी फ़ाइल पर रीडायरेक्ट करना चाहते हैं, तो आप
निश्चित रूप से कंसोल के पुनर्निर्देशन (यानी > out.txt) का उपयोग कर सकते हैं या आप --output-file=out.txt का उपयोग कर सकते हैं।
आप --output=FORMAT भी चुन सकते हैं, इसका कारण प्लगइन्स को HTML के रूप में आउटपुट प्रस्तुत करने की अनुमति देना है,
JSON, SQL, या जो भी आप चुनें। हालाँकि, उन वैकल्पिक आउटपुट स्वरूपों के साथ कोई प्लगइन्स नहीं हैं
उपयोग के लिए पूर्व-कॉन्फ़िगर किया गया है, इसलिए आपको रेंडर_एचटीएमएल, रेंडर_जेसन, रेंडर_एसक्यूएल नामक एक फ़ंक्शन जोड़ना होगा।
--आउटपुट=HTML का उपयोग करने से पहले प्रत्येक प्लगइन को क्रमशः।

प्लगइन विशिष्ट विकल्प

कई प्लगइन्स अपने स्वयं के तर्क स्वीकार करते हैं, जो वैश्विक विकल्पों से स्वतंत्र होते हैं। देखने के लिए
उपलब्ध विकल्पों की सूची, कमांड-लाइन पर प्लगइन नाम और -h/--help दोनों टाइप करें।

$ अस्थिरता dlllist -h

डिबग मोड

यदि अस्थिरता में कुछ अपेक्षित तरीके से नहीं हो रहा है, तो -d/--debug के साथ कमांड चलाने का प्रयास करें।
यह डिबग संदेशों को मानक त्रुटि पर प्रिंट करने में सक्षम करेगा। अधिक डिबग स्तरों तक, जैसे कि उपयोग में
pdb डिबगर), कमांड में -d -d -d जोड़ें।

लाइब्रेरी के रूप में अस्थिरता का उपयोग करना

हालाँकि वोलैटिलिटी को एक लाइब्रेरी के रूप में उपयोग करना संभव है, (इसे बेहतर तरीके से समर्थन देने की योजनाएँ हैं
भविष्य)। वर्तमान में, पायथन स्क्रिप्ट से अस्थिरता आयात करने के लिए, निम्नलिखित उदाहरण कोड का उपयोग किया जा सकता है:

$ पायथन
>>> volatility.conf को conf के रूप में आयात करें
>>> अस्थिरता.रजिस्ट्री को रजिस्ट्री के रूप में आयात करें
>>>रजिस्ट्री.प्लगइनइम्पोर्टर()

>>> कॉन्फ़िगरेशन = conf.ConfObject()
>>> volatility.commands को कमांड के रूप में आयात करें
>>> volatility.addrspace को addrspace के रूप में आयात करें
>>>रजिस्ट्री.रजिस्टर_ग्लोबल_ऑप्शंस(कॉन्फिग, कमांड्स.कमांड)
>>>रजिस्ट्री.रजिस्टर_ग्लोबल_ऑप्शंस(कॉन्फ़िगरेशन, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE='WinXPSP2x86'
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> volatility.plugins.taskmods को टास्कमोड्स के रूप में आयात करें
>>> पी = टास्कमोड्स.पीएसएलिस्ट(कॉन्फ़िगरेशन)
>>> पी.कैलकुलेट() में प्रक्रिया के लिए:
...प्रिंट प्रक्रिया

उदाहरण


सभी उपलब्ध प्लगइन्स, प्रोफाइल, स्कैनर जांच और पता स्थान देखने के लिए:

$अस्थिरता--जानकारी

MS Windows 8 SP0 में पाई जाने वाली सभी सक्रिय प्रक्रियाओं को सूचीबद्ध करने के लिए की छवि:

$ अस्थिरता -f win8.raw --profile=Win8SP0x86 pslist

MS Windows 8 SP0 में पाई जाने वाली सभी सक्रिय प्रक्रियाओं को सूचीबद्ध करने के लिए की छवि, समयक्षेत्र का उपयोग करते हुए:

$ अस्थिरता -f win8.raw --profile=Win8SP0x86 pslist --tz=अमेरिका/साओ_पाउलो

Linux 3.2.63 से कर्नेल bnuffer दिखाने के लिए की छवि:

$ अस्थिरता -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

टिप्पणियाँ


यह मैनपेज अस्थिरता के बारे में कुछ परीक्षणों और कई आधिकारिक दस्तावेजों पर आधारित था। के लिए
अन्य जानकारी और ट्यूटोरियल, देखें:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/अस्थिरता/विकी

onworks.net सेवाओं का उपयोग करके ऑनलाइन अस्थिरता का उपयोग करें



नवीनतम Linux और Windows ऑनलाइन प्रोग्राम