অবিশ্বাস

কার্যক্রম:

NAME এর

অবিশ্বাস - উন্নত মেমরি ফরেনসিক ফ্রেমওয়ার্ক

সাইনোপিসিস

অবিশ্বাস [পছন্দ]
অবিশ্বাস -f [ভাবমূর্তি] --প্রোফাইল=[প্রোফাইল] [প্লাগ লাগানো]

বর্ণনাঃ

উদ্বায়ীতা ফ্রেমওয়ার্ক হল নিষ্কাশনের জন্য সরঞ্জামগুলির একটি সম্পূর্ণ উন্মুক্ত সংগ্রহ
উদ্বায়ী মেমরি (RAM) নমুনা থেকে ডিজিটাল শিল্পকর্ম। ফরেনসিক বিশ্লেষণে এটি কার্যকর।
নিষ্কাশন কৌশল সিস্টেম হচ্ছে সম্পূর্ণ স্বাধীন সঞ্চালিত হয়
তদন্ত করা হয়েছে কিন্তু সিস্টেমের রানটাইম অবস্থায় অভূতপূর্ব দৃশ্যমানতা প্রদান করে।

উদ্বায়ীতা এমএস উইন্ডোজ, লিনাক্স এবং ম্যাক ওএসএক্সের বিভিন্ন সংস্করণ সমর্থন করে:

এমএস উইন্ডোজ:

৩২-বিট উইন্ডোজ এক্সপি সার্ভিস প্যাক ২ এবং ৩

· 32-বিট উইন্ডোজ 2003 সার্ভার সার্ভিস প্যাক 0, 1, 2

· 32-বিট উইন্ডোজ ভিস্তা সার্ভিস প্যাক 0, 1, 2

· 32-বিট উইন্ডোজ 2008 সার্ভার সার্ভিস প্যাক 1, 2 (কোনও SP0 নেই)

· 32-বিট উইন্ডোজ 7 সার্ভিস প্যাক 0, 1

৩২-বিট উইন্ডোজ ৮, ৮.১ এবং ৮.১ আপডেট ১

· 32-বিট উইন্ডোজ 10 (প্রাথমিক সমর্থন)

· 64-বিট উইন্ডোজ এক্সপি সার্ভিস প্যাক 1 এবং 2 (কোন SP0 নেই)

· 64-বিট উইন্ডোজ 2003 সার্ভার সার্ভিস প্যাক 1 এবং 2 (কোনও SP0 নেই)

· 64-বিট উইন্ডোজ ভিস্তা সার্ভিস প্যাক 0, 1, 2

· 64-বিট উইন্ডোজ 2008 সার্ভার সার্ভিস প্যাক 1 এবং 2 (কোনও SP0 নেই)

· 64-বিট উইন্ডোজ 2008 R2 সার্ভার সার্ভিস প্যাক 0 এবং 1

· 64-বিট উইন্ডোজ 7 সার্ভিস প্যাক 0 এবং 1

৩২-বিট উইন্ডোজ ৮, ৮.১ এবং ৮.১ আপডেট ১

· 64-বিট উইন্ডোজ সার্ভার 2012 এবং 2012 R2

· 64-বিট উইন্ডোজ 10 (প্রাথমিক সমর্থন)

লিনাক্স:

· 32-বিট লিনাক্স কার্নেল 2.6.11 থেকে 4.2.3 পর্যন্ত

· 64-বিট লিনাক্স কার্নেল 2.6.11 থেকে 4.2.3 পর্যন্ত

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, ইত্যাদি

ম্যাক ওএসএক্স:

· 32-বিট 10.5.x Leopard (শুধুমাত্র 64-বিট 10.5 সার্ভার, যা সমর্থিত নয়)

· 32-বিট 10.6.x স্নো লেপার্ড

· 64-বিট 10.6.x স্নো লেপার্ড

32-বিট 10.7.x সিংহ

64-বিট 10.7.x সিংহ

· 64-বিট 10.8.x মাউন্টেন লায়ন (কোন 32-বিট সংস্করণ নেই)

· 64-বিট 10.9.x ম্যাভেরিক্স (কোন 32-বিট সংস্করণ নেই)

· 64-বিট 10.10.x ইয়োসেমাইট (কোন 32-বিট সংস্করণ নেই)

· 64-বিট 10.11.x এল ক্যাপিটান (কোন 32-বিট সংস্করণ নেই)

সমর্থিত মেমরি বিন্যাস হল:

· কাঁচা রৈখিক নমুনা (dd)

· হাইবারনেশন ফাইল

· ক্র্যাশ ডাম্প ফাইল

· ভার্চুয়ালবক্স ELF64 কোর ডাম্প

· VMware সংরক্ষিত অবস্থা এবং স্ন্যাপশট ফাইল

· EWF বিন্যাস (E01)

· LiME (লিনাক্স মেমরি এক্সট্র্যাক্টর) বিন্যাস

· Mach-o ফাইল ফরম্যাট

· QEMU ভার্চুয়াল মেশিন ডাম্প

· ফায়ারওয়্যার

· HPAK (FDPro)

সমর্থিত ঠিকানা স্পেস (RAM প্রকার) হল:

· AMD64PagedMemory - স্ট্যান্ডার্ড AMD 64-বিট ঠিকানা স্থান

· ArmAddressSpace - ARM প্রসেসরের জন্য ঠিকানা স্থান

FileAddressSpace - এটি একটি সরাসরি ফাইল AS

· HPAKAddressSpace - এই AS HPAK ফরম্যাট সমর্থন করে

· IA32PagedMemoryPae - এই ক্লাসটি IA-32 PAE পেজিং ঠিকানা স্থান প্রয়োগ করে।
এটা দায়ী

· IA32PagedMemory - স্ট্যান্ডার্ড IA-32 পেজিং ঠিকানা স্থান

· LimeAddressSpace - চুনের জন্য ঠিকানা স্থান

· MachOAddressSpace - atc-ny মেমরি সমর্থন করার জন্য mach-o ফাইলগুলির জন্য ঠিকানা স্থান
পাঠক

· OSXPmemELF - এই AS ভার্চুয়ালবক্স ELF64 coredump ফর্ম্যাট সমর্থন করে

QemuCoreDumpElf - এই AS Qemu ELF32 এবং ELF64 coredump ফর্ম্যাট সমর্থন করে

· VirtualBoxCoreDumpElf64 - এই AS VirtualBox ELF64 coredump ফর্ম্যাট সমর্থন করে

· VMWareAddressSpace - এই AS VMware স্ন্যাপশট (VMSS) এবং সংরক্ষিত অবস্থা সমর্থন করে
(VMSS) ফাইল

· VMWareMetaAddressSpace - এই AS VMSN/VMSS এর সাথে VMEM ফরম্যাট সমর্থন করে
মেটাডাটা

· WindowsCrashDumpSpace32 - এই AS উইন্ডোজ ক্র্যাশ ডাম্প ফর্ম্যাট সমর্থন করে

· WindowsCrashDumpSpace64BitMap - এই AS Windows BitMap ক্র্যাশ ডাম্প সমর্থন করে
বিন্যাস

· WindowsCrashDumpSpace64 - এই AS উইন্ডোজ ক্র্যাশ ডাম্প ফর্ম্যাট সমর্থন করে

WindowsHiberFileSpace32 - এটি উইন্ডোজের জন্য একটি হাইবারনেট অ্যাড্রেস স্পেস
হাইবারনেশন ফাইল

পরীক্ষার জন্য উদাহরণ মেমরি ইমেজ আছে
https://github.com/volatilityfoundation/অবিশ্বাস/উইকি/মেমোরি-নমুনা।

বিকল্প

-হ, --help
সমস্ত উপলব্ধ বিকল্প এবং তাদের ডিফল্ট মান তালিকা করুন। ডিফল্ট মান সেট করা হতে পারে
কনফিগারেশন ফাইল (/etc/volatilityrc)।

--conf-file=/root/.volatilityrc
ব্যবহারকারী ভিত্তিক কনফিগারেশন ফাইল।

-d, --ডিবাগ
ডিবাগ অস্থিরতা।

--plugins=PLUGINS
অতিরিক্ত প্লাগ লাগানো ব্যবহার করার জন্য ডিরেক্টরি (কোলন আলাদা করা)।

--তথ্য সমস্ত নিবন্ধিত বস্তু সম্পর্কে তথ্য মুদ্রণ.

--cache-directory=/root/.cache/volatility
ডিরেক্টরি যেখানে ক্যাশে ফাইল সংরক্ষণ করা হয়।

--ক্যাশে
ক্যাশিং ব্যবহার করুন।

--tz=TZ
pytz (যদি ইনস্টল করা থাকে) বা tzset ব্যবহার করে টাইমস্ট্যাম্প প্রদর্শনের জন্য টাইমজোন সেট করুন

-f FILENAME, --filename=FILENAME
একটি খোলার সময় ফাইলের নাম ব্যবহার করতে হবে ভাবমূর্তি.

--প্রোফাইল=WinXPSP2x86
লোড করার জন্য প্রোফাইলের নাম (ব্যবহার করুন --তথ্য সমর্থিত প্রোফাইলের একটি তালিকা দেখতে)।

-l অবস্থান, --location=LOCATION
একটি URN অবস্থান যেখান থেকে একটি ঠিকানা স্থান লোড করতে হবে।

-w, -- লিখুন
লেখা সমর্থন সক্ষম করুন।

--dtb=DTB
DTB ঠিকানা।

-- shift=SHIFT
ম্যাক KASLR শিফট ঠিকানা।

--আউটপুট=টেক্সট
এই বিন্যাসে আউটপুট.

--output-file=OUTPUT_FILE
এই ফাইলে আউটপুট লিখুন।

-ভি, -- ভারবোস
ভার্বোস তথ্য।

-g কেডিবিজি, --kdbg=KDBG
একটি নির্দিষ্ট KDBG ভার্চুয়াল ঠিকানা উল্লেখ করুন। 64-বিট উইন্ডোজ 8 এবং তার উপরের জন্য এটি
KdCopyDataBlock এর ঠিকানা।

-- বল
সন্দেহজনক প্রোফাইলের জোর ব্যবহার।

-k কেপিসিআর, --kpcr=KPCR
একটি নির্দিষ্ট KPCR ঠিকানা উল্লেখ করুন।

--কুকি=কুকি
nt!ObHeaderCookie-এর ঠিকানা উল্লেখ করুন (শুধুমাত্র Windows 10 এর জন্য বৈধ)।

প্লাগিন এবং প্রোফাইলের

সমর্থিত প্লাগ লাগানো '$ কমান্ড ব্যবহার করলে কমান্ড এবং প্রোফাইল দেখা যাবে
অবিশ্বাস --তথ্য' মনে রাখবেন যে Linux এবং MAC OSX অনুমোদিত প্লাগইনগুলিতে 'linux_' থাকবে
এবং 'mac_' উপসর্গ। এই উপসর্গ ছাড়া প্লাগইনগুলি এমএস উইন্ডোজের জন্য ডিজাইন করা হয়েছে।

প্রোফাইলগুলি হল মানচিত্র যা ভোলাটিলিটি অপারেশনাল সিস্টেম বোঝার জন্য ব্যবহার করে। অনুমোদিত এম.এস
উইন্ডোজ প্রোফাইল অস্থিরতা দ্বারা প্রদান করা হয়.

আপনাকে অবশ্যই Linux এবং MAC OSX এর জন্য নিজের প্রোফাইল তৈরি করতে হবে। এর জন্য, ডেবিয়ান সিস্টেমে, পড়ুন
README.Debian ফাইল প্রদত্ত অবিশ্বাস- টুলস প্যাকেজ।

MS Windows এ, OS টাইপ নির্ধারণ করতে, আপনি ব্যবহার করতে পারেন:

$ অস্থিরতা -f ইমেজ তথ্য

or

$ অস্থিরতা -f kdbgscan

পরিবেশ বৈচিত্র্য

একটি GNU/Linux বা OS X সিস্টেমে, এই ভেরিয়েবলগুলি সেট করা যেতে পারে:

· VOLATILITY_PROFILE - ডিফল্ট হিসাবে ব্যবহার করার জন্য একটি প্রোফাইল নির্দিষ্ট করে, তৈরি করে
অপ্রয়োজনীয় একটি '--প্রোফাইল' পছন্দ.

· VOLATILITY_LOCATION - একটি এর পথ নির্দিষ্ট করে ভাবমূর্তি. সুতরাং, ভোলাটিলিটি কমান্ড
'এর মাধ্যমে ফাইলের নাম প্রয়োজন হবে না-f' পছন্দ.

· VOLATILITY_KDBG - একটি KDBG ঠিকানা নির্দিষ্ট করে। আরো জন্য অতিরিক্ত পদ্ধতি দেখুন
বিবরণ।

অন্যান্য প্লাগ লাগানো পতাকাগুলি এইভাবে ব্যবহার করা যেতে পারে, যেমন KPCR, DTB বা PLUGINS। কখন
ভেরিয়েবল রপ্তানি করা, পতাকার নামের আগে শুধু VOLATILITY_ উপসর্গ (যেমন
VOLATILITY_KPCR)। অন্যথায়, এটি যোগ করার সময় পতাকার নাম একই থাকে
কনফিগারেশন ফাইল.

যদি আপনার নামে একটি স্পেস বা তার বেশি একটি পথ থাকে, তাহলে স্পেসগুলিকে %20 দিয়ে প্রতিস্থাপন করা উচিত
পরিবর্তে (যেমন LOCATION=file:///tmp/my%20image.img)।

উদাহরণ:

$ রপ্তানি VOLATILITY_PROFILE=Win7SP0x86
$export VOLATILITY_LOCATION=file:///tmp/myimage.img
$ রপ্তানি VOLATILITY_KDBG=0x82944c28

কনফিগারেশন নথি পত্র

কনফিগারেশন ফাইলগুলি সাধারণত বর্তমান ডিরেক্টরিতে 'volatilityrc' বা
'~/.volatilityrc' ব্যবহারকারীর হোম ডিরেক্টরিতে, অথবা ব্যবহারকারীর নির্দিষ্ট পাথে, ব্যবহার করে --conf-
ফাইল পছন্দ. ফাইলের বিষয়বস্তুর একটি উদাহরণ নীচে দেখানো হয়েছে:

[ডিফল্ট]
প্রোফাইল=Win7SP0x86
LOCATION=file:///tmp/myimage.img
KDBG=0x82944c28

অন্যান্য প্লাগ লাগানো পতাকাগুলি এইভাবে ব্যবহার করা যেতে পারে, যেমন KPCR, DTB বা PLUGINS। কখন
ভেরিয়েবল রপ্তানি করা, পতাকার নামের আগে শুধু VOLATILITY_ উপসর্গ (যেমন
VOLATILITY_KPCR)। অন্যথায়, এটি যোগ করার সময় পতাকার নাম একই থাকে
কনফিগারেশন ফাইল.

যদি আপনার নামে একটি স্পেস বা তার বেশি একটি পথ থাকে, তাহলে স্পেসগুলিকে %20 দিয়ে প্রতিস্থাপন করা উচিত
পরিবর্তে (যেমন LOCATION=file:///tmp/my%20image.img)।

অতিরিক্ত প্রক্রিয়া

একটি টাইমজোন সেট করা হচ্ছে

মেমরি থেকে বের করা টাইমস্ট্যাম্প হয় সিস্টেম-লোকাল টাইমে বা ইউনিভার্সাল টাইমে হতে পারে
স্থানাঙ্ক (UTC)। যদি তারা UTC-এ থাকে, তাহলে ভোলাটিলিটি একটি সময়ে সেগুলি প্রদর্শন করার জন্য নির্দেশ দেওয়া যেতে পারে
বিশ্লেষকের পছন্দের অঞ্চল। একটি টাইমজোন বেছে নিতে, একটি আদর্শ টাইমজোন ব্যবহার করুন
নাম (যেমন আমেরিকা/সাও_পাওলো, ইউরোপ/লন্ডন, ইউএস/ইস্টার্ন বা বেশিরভাগ ওলসন টাইমজোন) সহ
--tz=TIMEZONE পতাকা।

অস্থিরতা ইনস্টল করা হলে pytz ব্যবহার করার চেষ্টা করে, অন্যথায় এটি tzset ব্যবহার করে।

অনুগ্রহ করে মনে রাখবেন যে একটি টাইমজোন নির্দিষ্ট করলে সিস্টেম-স্থানীয় সময়গুলি কীভাবে প্রদর্শিত হয় তা প্রভাবিত করবে না। যদি
আপনি এমন একটি সময় শনাক্ত করেন যা আপনি জানেন যে UTC-ভিত্তিক, দয়া করে এটিকে সমস্যা ট্র্যাকারে একটি সমস্যা হিসাবে ফাইল করুন৷
ডিফল্টরূপে _EPROCESS CreateTime এবং ExitTime টাইমস্ট্যাম্প UTC-তে থাকে।

DTB সেট করা

DTB (ডিরেক্টরি টেবিল বেস) হল যা ভার্চুয়াল ঠিকানাগুলিকে বাস্তবে অনুবাদ করতে ভলাটিলিটি ব্যবহার করে
ঠিকানা ডিফল্টরূপে, একটি কার্নেল DTB ব্যবহার করা হয় (নিষ্ক্রিয়/সিস্টেম প্রক্রিয়া থেকে)। আপনি যদি একটি ব্যবহার করতে চান
বিভিন্ন প্রক্রিয়ার DTB ডেটা অ্যাক্সেস করার সময় ঠিকানাটি --dtb=ADDRESS-এ সরবরাহ করুন।

KDBG ঠিকানা সেট করা হচ্ছে (এটি শুধুমাত্র উইন্ডোজ পছন্দ)

হার্ড-কোডযুক্ত স্বাক্ষর "KDBG" ব্যবহার করে '_KDDEBUGGER_DATA64' কাঠামোর জন্য উদ্বায়ীতা স্ক্যান করে এবং
বিবেক চেক একটি সিরিজ. অপারেটিং সিস্টেমের কাজ করার জন্য এই স্বাক্ষরগুলি গুরুত্বপূর্ণ নয়
সঠিকভাবে, এইভাবে ম্যালওয়্যার তাদের উপর নির্ভর করে এমন সরঞ্জামগুলি ফেলে দেওয়ার প্রয়াসে তাদের ওভাররাইট করতে পারে
স্বাক্ষর অতিরিক্তভাবে, কিছু ক্ষেত্রে একাধিক '_KDDEBUGGER_DATA64' (এর জন্য) থাকতে পারে
উদাহরণ যদি আপনি একটি বড় OS আপডেট প্রয়োগ করেন এবং রিবুট না করেন), যা বিভ্রান্তির কারণ হতে পারে এবং হতে পারে
অন্যান্য সমস্যার মধ্যে ভুল প্রক্রিয়া এবং মডিউল তালিকা। ঠিকানা জানা থাকলে
'_KDDEBUGGER_DATA64' যোগ করুন, আপনি এটিকে --kdbg=ADDRESS দিয়ে নির্দিষ্ট করতে পারেন এবং এটি স্বয়ংক্রিয় ওভাররাইড করে
স্ক্যান আরও তথ্যের জন্য, kdbgscan প্লাগইন দেখুন।

KPCR ঠিকানা সেট করা হচ্ছে (এটি শুধুমাত্র উইন্ডোজ পছন্দ)

একটি সিস্টেমে প্রতিটি সিপিইউ-এর জন্য একটি কেপিসিআর (কার্নেল প্রসেসর নিয়ন্ত্রণ অঞ্চল) রয়েছে। কিছু অস্থিরতা
প্লাগইন প্রতি-প্রসেসরের তথ্য প্রদর্শন করে। এইভাবে যদি আপনি একটি নির্দিষ্ট CPU এর জন্য ডেটা প্রদর্শন করতে চান, এর জন্য
উদাহরণ CPU 3-এর পরিবর্তে CPU 1, আপনি সেই CPU-এর KPCR-এর ঠিকানা --kpcr=ADDRESS দিয়ে পাস করতে পারেন।
সমস্ত CPU-র জন্য KPCRs সনাক্ত করতে, kpcrscan প্লাগইন দেখুন। এছাড়াও মনে রাখবেন যে উদ্বায়ীতা 2.2 থেকে শুরু হচ্ছে,
অনেক প্লাগইন যেমন idt এবং gdt স্বয়ংক্রিয়ভাবে KPCR-এর তালিকার মাধ্যমে পুনরাবৃত্তি করে।

লেখা সমর্থন সক্রিয় করা হচ্ছে

ভোলাটিলিটিতে সমর্থন লিখুন সতর্কতার সাথে ব্যবহার করা উচিত। অতএব, আসলে এটি সক্ষম করতে, আপনাকে অবশ্যই করতে হবে
কমান্ড-লাইনে শুধুমাত্র --write টাইপ করবেন না কিন্তু একটি প্রশ্নের উত্তরে আপনাকে অবশ্যই একটি 'পাসওয়ার্ড' টাইপ করতে হবে
আপনি সঙ্গে অনুরোধ করা হবে. বেশিরভাগ ক্ষেত্রে আপনি লেখার সমর্থন ব্যবহার করতে চান না কারণ এটি হতে পারে
দুর্নীতি বা আপনার মেমরি ডাম্প তথ্য পরিবর্তন. যাইহোক, বিশেষ ক্ষেত্রে বিদ্যমান যা এটি তৈরি করে
বৈশিষ্ট্য সত্যিই আকর্ষণীয়. উদাহরণস্বরূপ, আপনি এর মাধ্যমে নির্দিষ্ট ম্যালওয়্যারের একটি লাইভ সিস্টেম পরিষ্কার করতে পারেন
ফায়ারওয়্যারে RAM-তে লেখা, অথবা আপনি বাইট প্যাচ করে একটি লক করা ওয়ার্কস্টেশনে প্রবেশ করতে পারেন
winlogon DLLs.

অতিরিক্ত উল্লেখ করা হচ্ছে প্লাগ লাগানো ডিরেক্টরি

অস্থিরতার প্লাগইন আর্কিটেকচার একাধিক ডিরেক্টরি থেকে একবারে প্লাগইন ফাইল লোড করতে পারে। মধ্যে
অস্থিরতা উত্স কোড, বেশিরভাগ প্লাগইনগুলি অস্থিরতা/প্লাগইনগুলিতে অবস্থিত। তবে, আরেকটি আছে
ডিরেক্টরি (অস্থিরতা/অবদান) যা তৃতীয় পক্ষের বিকাশকারীদের থেকে অবদানের জন্য সংরক্ষিত, বা
দুর্বলভাবে সমর্থিত প্লাগইন যা ডিফল্টরূপে সক্রিয় করা হয় না। এই প্লাগইন অ্যাক্সেস করতে আপনি শুধু
কমান্ড লাইনে --plugins=contrib/plugins টাইপ করুন। এটি আপনাকে একটি পৃথক ডিরেক্টরি তৈরি করতে সক্ষম করে
আপনার নিজস্ব প্লাগইন যা আপনি মূল ফাইল যোগ/সরানো/সংশোধন ছাড়াই পরিচালনা করতে পারেন
অস্থিরতা ডিরেক্টরি.

নোট:

* ডেবিয়ান সিস্টেমে, অবদান/প্লাগইন ডিরেক্টরিটি /usr/share/volatility/contrib/plugins-এ থাকে।

* সাবডিরেক্টরিগুলিকেও ট্রাভার্স করা হবে যতক্ষণ না একটি __init__.py ফাইল থাকে (যা খালি হতে পারে)
তাদের মধ্যে

* --plugins-এর পরামিতি একটি জিপ ফাইলও হতে পারে যাতে প্লাগইনগুলি থাকে
--plugins=myplugins.zip হিসাবে। প্লাগইনগুলি যেভাবে লোড হয় তার কারণে, বহিরাগত প্লাগইন ডিরেক্টরি
অথবা zip ফাইলটি অবশ্যই কোনো প্লাগইন-নির্দিষ্ট আর্গুমেন্টের আগে নির্দিষ্ট করতে হবে (এর নাম সহ
প্লাগ লাগানো). উদাহরণ:

$ অস্থিরতা --plugins=contrib/plugins -f XPSP3x86.vmem উদাহরণ

একটি আউটপুট বিন্যাস নির্বাচন করা হচ্ছে

ডিফল্টরূপে, প্লাগইনগুলি স্ট্যান্ডার্ড আউটপুটে পাঠ্য রেন্ডারার ব্যবহার করে। আপনি একটি ফাইলে পুনঃনির্দেশ করতে চান, আপনি
অবশ্যই কনসোলের পুনর্নির্দেশ ব্যবহার করতে পারেন (যেমন > out.txt) অথবা আপনি --output-file=out.txt ব্যবহার করতে পারেন।
আপনি যে কারণে --output=FORMAT চয়ন করতে পারেন তা হল প্লাগইনগুলিকে HTML হিসাবে আউটপুট রেন্ডার করার অনুমতি দেওয়ার জন্য,
JSON, SQL, বা আপনি যা বেছে নিন। যাইহোক, ঐ বিকল্প আউটপুট বিন্যাসের সাথে কোন প্লাগইন নেই
ব্যবহারের জন্য পূর্ব-কনফিগার করা হয়েছে, তাই আপনাকে render_html, render_json, render_sql নামের একটি ফাংশন যোগ করতে হবে,
--output=HTML ব্যবহার করার আগে প্রতিটি প্লাগইনে যথাক্রমে।

প্লাগইন নির্দিষ্ট বিকল্প

অনেক প্লাগইন তাদের নিজস্ব আর্গুমেন্ট গ্রহণ করে, যা বিশ্বব্যাপী বিকল্পগুলির থেকে স্বাধীন। দেখতে
উপলব্ধ বিকল্পগুলির তালিকা, কমান্ড-লাইনে প্লাগইন নাম এবং -h/--help উভয় টাইপ করুন।

$ volatility dlllist -h

সংশোধনের ধাপ

যদি কিছু প্রত্যাশিত উপায়ে অস্থিরতা না ঘটছে, -d/--debug দিয়ে কমান্ড চালানোর চেষ্টা করুন।
এটি স্ট্যান্ডার্ড ত্রুটিতে ডিবাগ বার্তাগুলির মুদ্রণ সক্ষম করবে৷ আরো ডিবাগ স্তরে, ব্যবহার হিসাবে
pdb ডিবাগার), কমান্ডে -d -d -d যোগ করুন।

একটি লাইব্রেরি হিসাবে অস্থিরতা ব্যবহার করে

যদিও এটি একটি লাইব্রেরি হিসাবে অস্থিরতা ব্যবহার করা সম্ভব, (এটি আরও ভালভাবে সমর্থন করার পরিকল্পনা রয়েছে
ভবিষ্যত)। বর্তমানে, একটি পাইথন স্ক্রিপ্ট থেকে অস্থিরতা আমদানি করতে, নিম্নলিখিত উদাহরণ কোড ব্যবহার করা যেতে পারে:

$ পাইথন
>>> conf হিসাবে volatility.conf আমদানি করুন
>>> রেজিস্ট্রি হিসাবে volatility.registry আমদানি করুন
>>> registry.PluginImporter()

>>> কনফিগ = conf.ConfObject()
>>> কমান্ড হিসাবে volatility.commands আমদানি করুন
>>> addrspace হিসাবে volatility.addrspace আমদানি করুন
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options(config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> টাস্কমড হিসাবে volatility.plugins.taskmods আমদানি করুন
>>> p = taskmods.PSList(config)
>>> p.calculate(এ প্রক্রিয়ার জন্য):
... মুদ্রণ প্রক্রিয়া

উদাহরণ

সমস্ত উপলব্ধ প্লাগইন, প্রোফাইল, স্ক্যানার চেক এবং ঠিকানা স্থান দেখতে:

$ অস্থিরতা -- তথ্য

একটি MS Windows 8 SP0 পাওয়া সমস্ত সক্রিয় প্রক্রিয়া তালিকাভুক্ত করতে ভাবমূর্তি:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist

একটি MS Windows 8 SP0 পাওয়া সমস্ত সক্রিয় প্রক্রিয়া তালিকাভুক্ত করতে ভাবমূর্তি, একটি টাইমজোন ব্যবহার করে:

$ volatility -f win8.raw --profile=Win8SP0x86 pslist --tz=America/Sao_Paulo

একটি Linux 3.2.63 থেকে কার্নেল bnuffer দেখানোর জন্য ভাবমূর্তি:

$ volatility -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

নোট

এই ম্যানপেজটি কিছু পরীক্ষা এবং অস্থিরতা সম্পর্কে বেশ কিছু অফিসিয়াল নথির উপর ভিত্তি করে ছিল। জন্য
অন্যান্য তথ্য এবং টিউটোরিয়াল, দেখুন:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/অবিশ্বাস/উইকি

onworks.net পরিষেবা ব্যবহার করে অনলাইনে অস্থিরতা ব্যবহার করুন