การระเหย

โครงการ:

ชื่อ

การระเหย - เฟรมเวิร์กนิติเวชหน่วยความจำขั้นสูง

เรื่องย่อ

การระเหย [ตัวเลือก]
การระเหย -f [ภาพ] --ข้อมูลส่วนตัว=[โปรไฟล์] [เสียบเข้าไป]

DESCRIPTION

กรอบความแปรปรวนเป็นชุดเครื่องมือที่เปิดกว้างอย่างสมบูรณ์สำหรับการสกัด
สิ่งประดิษฐ์ดิจิทัลจากตัวอย่างหน่วยความจำระเหย (RAM) เป็นประโยชน์ในการวิเคราะห์ทางนิติเวช
เทคนิคการสกัดจะดำเนินการโดยสมบูรณ์โดยไม่ขึ้นกับระบบที่เป็นอยู่
ตรวจสอบแล้ว แต่ให้ทัศนวิสัยที่ไม่เคยมีมาก่อนในสถานะรันไทม์ของระบบ

ความผันผวนรองรับ MS Windows, Linux และ MAC OSX หลายเวอร์ชัน:

MS วินโดวส์:

· Windows XP Service Pack 32 และ 2 แบบ 3 บิต

· 32 บิต Windows 2003 Server Service Pack 0, 1, 2

· Windows Vista Service Pack แบบ 32 บิต 0, 1, 2

· 32 บิต Windows 2008 Server Service Pack 1, 2 (ไม่มี SP0)

· Windows 32 Service Pack แบบ 7 บิต 0, 1

· อัปเดต Windows 32 และ 8 แบบ 8.1 บิต 8.1

· Windows 32 แบบ 10 บิต (รองรับเริ่มต้น)

· 64-bit Windows XP Service Pack 1 และ 2 (ไม่มี SP0)

· 64-บิต Windows 2003 Server Service Pack 1 และ 2 (ไม่มี SP0)

· Windows Vista Service Pack แบบ 64 บิต 0, 1, 2

· 64-บิต Windows 2008 Server Service Pack 1 และ 2 (ไม่มี SP0)

· 64-บิต Windows 2008 R2 Server Service Pack 0 และ 1

· 64-บิต Windows 7 Service Pack 0 และ 1

· อัปเดต Windows 64 และ 8 แบบ 8.1 บิต 8.1

· Windows Server 64 และ 2012 R2012 แบบ 2 บิต

· Windows 64 แบบ 10 บิต (รองรับเริ่มต้น)

ลินุกซ์:

· เคอร์เนล Linux 32 บิต 2.6.11 ถึง 4.2.3

· เคอร์เนล Linux 64 บิต 2.6.11 ถึง 4.2.3

· OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva เป็นต้น

แมค โอเอสเอ็กซ์:

· 32-bit 10.5.x Leopard (มีเพียง 64-bit 10.5 เท่านั้นที่เป็น Server ซึ่งไม่รองรับ)

· 32 บิต 10.6.x Snow Leopard

· 64 บิต 10.6.x Snow Leopard

· 32 บิต 10.7.x Lion

· 64 บิต 10.7.x Lion

· Mountain Lion 64.x 10.8 บิต (ไม่มีรุ่น 32 บิต)

· 64 บิต 10.9.x Mavericks (ไม่มีรุ่น 32 บิต)

· 64 บิต 10.10.x โยเซมิตี (ไม่มีรุ่น 32 บิต)

· 64 บิต 10.11.x El Capitan (ไม่มีรุ่น 32 บิต)

รูปแบบหน่วยความจำที่รองรับคือ:

· ตัวอย่างเชิงเส้นดิบ (dd)

·ไฟล์ไฮเบอร์เนต

·ไฟล์ดัมพ์ขัดข้อง

· VirtualBox ELF64 คอร์ดัมพ์

· VMware บันทึกสถานะและไฟล์สแน็ปช็อต

· รูปแบบ EWF (E01)

· รูปแบบ LiME (Linux Memory Extractor)

· รูปแบบไฟล์ Mach-o

· QEMU เครื่องเสมือนทิ้ง

· ไฟร์ไวร์

· HPAK (FDPro)

ช่องว่างที่อยู่ที่รองรับ (ประเภท RAM) คือ:

· AMD64PagedMemory - พื้นที่แอดเดรส AMD 64 บิตมาตรฐาน

· ArmAddressSpace - พื้นที่ที่อยู่สำหรับโปรเซสเซอร์ ARM

· FileAddressSpace - นี่คือไฟล์โดยตรง AS

· HPAKAddressSpace - AS นี้รองรับรูปแบบ HPAK

· IA32PagedMemoryPae - คลาสนี้ใช้พื้นที่ที่อยู่การเพจ IA-32 PAE
มีความรับผิดชอบ

· IA32PagedMemory - พื้นที่ที่อยู่เพจ IA-32 มาตรฐาน

· LimeAddressSpace - พื้นที่ที่อยู่สำหรับ Lime

· MachOAddressSpace - พื้นที่ที่อยู่สำหรับไฟล์ mach-o เพื่อรองรับหน่วยความจำ atc-ny
ผู้อ่าน

· OSXPmemELF - AS นี้รองรับรูปแบบ coredump VirtualBox ELF64

· QemuCoreDumpElf - AS นี้รองรับรูปแบบ coredump ของ Qemu ELF32 และ ELF64

· VirtualBoxCoreDumpElf64 - AS นี้รองรับรูปแบบ coredump VirtualBox ELF64

· VMWareAddressSpace - AS นี้รองรับ VMware snapshot (VMSS) และสถานะที่บันทึกไว้
(VMSS) ไฟล์

· VMWareMetaAddressSpace - AS นี้รองรับรูปแบบ VMEM ด้วย VMSN/VMSS
เมตาดาต้า

· WindowsCrashDumpSpace32 - AS นี้รองรับรูปแบบ Windows Crash Dump

· WindowsCrashDumpSpace64BitMap - AS รองรับ Windows BitMap Crash Dump
รูป

· WindowsCrashDumpSpace64 - AS นี้รองรับรูปแบบ Windows Crash Dump

· WindowsHiberFileSpace32 - นี่คือพื้นที่ที่อยู่ไฮเบอร์เนตสำหรับ windows
ไฟล์ไฮเบอร์เนต

มีภาพหน่วยความจำตัวอย่างสำหรับการทดสอบที่
https://github.com/volatilityfoundation/การระเหย/wiki/หน่วยความจำ-ตัวอย่าง

OPTIONS

-ชม, --ช่วยด้วย
แสดงรายการตัวเลือกที่มีอยู่ทั้งหมดและค่าเริ่มต้น ค่าเริ่มต้นอาจถูกตั้งค่าใน
ไฟล์การกำหนดค่า (/etc/volatilityrc)

--conf-file=/root/.volatilityrc
ไฟล์การกำหนดค่าตามผู้ใช้

-NS, --debug
ดีบักความผันผวน

--plugins=ปลั๊กอิน
เพิ่มเติม เสียบเข้าไป ไดเร็กทอรีที่จะใช้ (คั่นด้วยเครื่องหมายทวิภาค)

--ข้อมูล พิมพ์ข้อมูลเกี่ยวกับวัตถุที่ลงทะเบียนทั้งหมด

--cache-directory=/root/.cache/volatility
ไดเร็กทอรีที่เก็บไฟล์แคช

--แคช
ใช้การแคช

--tz=TZ
ตั้งค่าเขตเวลาสำหรับแสดงการประทับเวลาโดยใช้ pytz (หากติดตั้งไว้) หรือ tzset

-f ชื่อไฟล์, --ชื่อไฟล์=ชื่อไฟล์
ชื่อไฟล์ที่จะใช้เมื่อเปิด an ภาพ.

--profile=WinXPSP2x86
ชื่อของโปรไฟล์ที่จะโหลด (ใช้ --ข้อมูล เพื่อดูรายการโปรไฟล์ที่รองรับ)

-l ที่ตั้ง, --สถานที่=สถานที่
ตำแหน่ง URN ที่จะโหลดพื้นที่ที่อยู่

-w, --เขียน
เปิดใช้งานการสนับสนุนการเขียน

--dtb=ดีทีบี
ที่อยู่ DTB

--กะ = SHIFT
ที่อยู่กะ Mac KASLR

--output=ข้อความ
เอาต์พุตในรูปแบบนี้

--output-file=OUTPUT_FILE
เขียนผลลัพธ์ในไฟล์นี้

-ใน, --รายละเอียด
ข้อมูลอย่างละเอียด

-g เคดีบีจี --kdbg=KDBG
ระบุที่อยู่เสมือน KDBG เฉพาะ สำหรับ Windows 64 แบบ 8 บิตขึ้นไป นี่คือ
ที่อยู่ของ KdCopyDataBlock

--บังคับ
บังคับใช้โปรไฟล์ผู้ต้องสงสัย

-k เคพีซีอาร์ --kpcr=เคพีซีอาร์
ระบุที่อยู่ KPCR เฉพาะ

--cookie=คุกกี้
ระบุที่อยู่ของ nt!ObHeaderCookie (ใช้ได้กับ Windows 10 เท่านั้น)

PLUGINS AND ประวัติ

ที่รองรับ เสียบเข้าไป สามารถดูคำสั่งและโปรไฟล์ได้หากใช้คำสั่ง '$
การระเหย --ข้อมูล'. โปรดทราบว่าปลั๊กอินที่อนุญาตสำหรับ Linux และ MAC OSX จะมี 'linux_'
และคำนำหน้า 'mac_' ปลั๊กอินที่ไม่มีคำนำหน้าเหล่านี้ออกแบบมาสำหรับ MS Windows

โปรไฟล์คือแผนที่ที่ใช้โดยความผันผวนเพื่อทำความเข้าใจระบบปฏิบัติการ MS . ที่ได้รับอนุญาต
โปรไฟล์ Windows มาจากความผันผวน

คุณต้องสร้างโปรไฟล์ของคุณเองสำหรับ Linux และ MAC OSX สำหรับสิ่งนี้บนระบบ Debian ให้อ่าน
ไฟล์ README.Debian ที่จัดเตรียมโดย การระเหย- แพ็คเกจเครื่องมือ

บน MS Windows เพื่อกำหนดประเภทของระบบปฏิบัติการ คุณสามารถใช้:

ความผันผวนของ $ -f ภาพข้อมูล

or

ความผันผวนของ $ -f kdbgscan

และพวกเรา ตัวแปร

บนระบบ GNU/Linux หรือ OS X ตัวแปรเหล่านี้สามารถตั้งค่าได้:

· VOLATILITY_PROFILE - ระบุโปรไฟล์ที่จะใช้เป็นค่าเริ่มต้น ทำให้
ไม่จำเป็น '--ข้อมูลส่วนตัว' ตัวเลือก.

· VOLATILITY_LOCATION - ระบุเส้นทางของ ภาพ. ดังนั้น คำสั่งความผันผวน
จะไม่ต้องการชื่อไฟล์ผ่าน '-f' ตัวเลือก.

· VOLATILITY_KDBG - ระบุที่อยู่ KDBG ดูขั้นตอนพิเศษเพื่อเพิ่มเติม
รายละเอียด

อื่นๆ เสียบเข้าไป อาจใช้แฟล็กในลักษณะนี้ เช่น KPCR, DTB หรือ PLUGINS เมื่อไหร่
การส่งออกตัวแปร เพียงนำหน้า VOLATILITY_ ก่อนชื่อแฟล็ก (เช่น
VOLATILITY_KPCR) มิฉะนั้น ชื่อแฟล็กจะยังคงเหมือนเดิมเมื่อเพิ่มลงใน
ไฟล์การกำหนดค่า

หากคุณมีเส้นทางที่มีการเว้นวรรคหรือมากกว่าในชื่อ การเว้นวรรคควรแทนที่ด้วย %20
แทน (เช่น LOCATION=file:///tmp/my%20image.img)

ตัวอย่าง:

$ ส่งออก VOLATILITY_PROFILE=Win7SP0x86
$ ส่งออก VOLATILITY_LOCATION=file://tmp/myimage.img
$ ส่งออก VOLATILITY_KDBG=0x82944c28

การกำหนดค่า ไฟล์

ไฟล์การกำหนดค่าโดยทั่วไปจะเป็น 'volatilityrc' ในไดเร็กทอรีปัจจุบันหรือ
'~/.volatilityrc' ในโฮมไดเร็กตอรี่ของผู้ใช้ หรือที่พาธที่ผู้ใช้ระบุ โดยใช้ --conf-
ไฟล์ ตัวเลือก. ตัวอย่างของเนื้อหาไฟล์แสดงอยู่ด้านล่าง:

[ค่าเริ่มต้น]
โปรไฟล์=Win7SP0x86
LOCATION=ไฟล์:///tmp/myimage.img
KDBG=0x82944c28

อื่นๆ เสียบเข้าไป อาจใช้แฟล็กในลักษณะนี้ เช่น KPCR, DTB หรือ PLUGINS เมื่อไหร่
การส่งออกตัวแปร เพียงนำหน้า VOLATILITY_ ก่อนชื่อแฟล็ก (เช่น
VOLATILITY_KPCR) มิฉะนั้น ชื่อแฟล็กจะยังคงเหมือนเดิมเมื่อเพิ่มลงใน
ไฟล์การกำหนดค่า

หากคุณมีเส้นทางที่มีการเว้นวรรคหรือมากกว่าในชื่อ การเว้นวรรคควรแทนที่ด้วย %20
แทน (เช่น LOCATION=file:///tmp/my%20image.img)

เตียง ขั้นตอนการ

การตั้งเขตเวลา

การประทับเวลาที่ดึงออกจากหน่วยความจำอาจเป็นเวลาในระบบหรือเวลาสากลก็ได้
พิกัด (UTC) หากอยู่ใน UTC ความผันผวนสามารถสั่งแสดงได้ในเวลา
โซนที่นักวิเคราะห์เลือกใช้ หากต้องการเลือกเขตเวลา ให้ใช้เขตเวลามาตรฐานอย่างใดอย่างหนึ่ง
ชื่อ (เช่น America/Sao_Paulo, Europe/London, US/Eastern หรือ Olson timezones ส่วนใหญ่) ด้วย
แฟล็ก --tz=TIMEZONE

ความผันผวนจะพยายามใช้ pytz หากติดตั้งไว้ มิฉะนั้นจะใช้ tzset

โปรดทราบว่าการระบุเขตเวลาจะไม่ส่งผลต่อการแสดงเวลาในระบบ-ท้องถิ่น ถ้า
คุณระบุเวลาที่คุณรู้ว่าเป็นแบบ UTC โปรดยื่นเป็นปัญหาในตัวติดตามปัญหา
โดยค่าเริ่มต้น การประทับเวลา _EPROCESS CreateTime และ ExitTime อยู่ใน UTC

การตั้งค่า DTB

DTB (Directory Table Base) คือสิ่งที่ Volatility ใช้ในการแปลที่อยู่เสมือนเป็นกายภาพ
ที่อยู่ ตามค่าเริ่มต้น เคอร์เนล DTB จะถูกใช้ (จากกระบวนการ Idle/System) หากคุณต้องการใช้ a
DTB ของกระบวนการอื่นเมื่อเข้าถึงข้อมูล ระบุที่อยู่ให้กับ --dtb=ADDRESS

การตั้งค่าที่อยู่ KDBG (สำหรับ Windows เท่านั้น ตัวเลือก)

ความผันผวนจะสแกนหาโครงสร้าง '_KDDEBUGGER_DATA64' โดยใช้ลายเซ็นแบบฮาร์ดโค้ด "KDBG" และ
ชุดตรวจสุขภาพ ลายเซ็นเหล่านี้ไม่สำคัญสำหรับระบบปฏิบัติการในการทำงาน
อย่างถูกต้อง ดังนั้นมัลแวร์สามารถเขียนทับมันเพื่อพยายามสลัดเครื่องมือที่พึ่งพา
ลายเซ็น. นอกจากนี้ ในบางกรณีอาจมี '_KDDEBUGGER_DATA64' มากกว่าหนึ่งรายการ (สำหรับ
เช่น หากคุณใช้การอัปเดตระบบปฏิบัติการหลักและไม่รีบูต) ซึ่งอาจทำให้เกิดความสับสนและนำไปสู่
รายการกระบวนการและโมดูลที่ไม่ถูกต้อง รวมถึงปัญหาอื่นๆ หากคุณทราบที่อยู่
เพิ่ม '_KDDEBUGGER_DATA64' คุณสามารถระบุได้ด้วย --kdbg=ADDRESS และสิ่งนี้จะแทนที่อัตโนมัติ
สแกน สำหรับข้อมูลเพิ่มเติม โปรดดูที่ปลั๊กอิน kdbgscan

การตั้งค่าที่อยู่ KPCR (นี่คือ Windows เท่านั้น ตัวเลือก)

มี KPCR (เขตควบคุมโปรเซสเซอร์เคอร์เนล) หนึ่งรายการสำหรับ CPU แต่ละตัวบนระบบ ความผันผวนบางอย่าง
ปลั๊กอินแสดงข้อมูลต่อโปรเซสเซอร์ ดังนั้นหากคุณต้องการแสดงข้อมูลสำหรับ CPU เฉพาะ for
ตัวอย่าง CPU 3 แทนที่จะเป็น CPU 1 คุณสามารถส่งที่อยู่ของ KPCR ของ CPU นั้นด้วย --kpcr=ADDRESS
ในการค้นหา KPCR สำหรับ CPU ทั้งหมด โปรดดูที่ปลั๊กอิน kpcrscan โปรดทราบด้วยว่าเริ่มต้นในความผันผวน 2.2
ปลั๊กอินจำนวนมาก เช่น idt และ gdt จะวนซ้ำโดยอัตโนมัติผ่านรายการ KPCR

เปิดใช้งานการสนับสนุนการเขียน

การเขียนการสนับสนุนในความผันผวนควรใช้ด้วยความระมัดระวัง ดังนั้น เพื่อเปิดใช้งานได้จริง คุณต้อง
ไม่เพียงพิมพ์ --write บนบรรทัดคำสั่ง แต่คุณต้องพิมพ์ 'รหัสผ่าน' เพื่อตอบคำถามที่
คุณจะได้รับแจ้งด้วย ในกรณีส่วนใหญ่ คุณจะไม่ต้องการใช้การสนับสนุนการเขียนเนื่องจากอาจนำไปสู่
ความเสียหายหรือการแก้ไขข้อมูลในการถ่ายโอนข้อมูลหน่วยความจำของคุณ อย่างไรก็ตามมีกรณีพิเศษที่ทำให้สิ่งนี้
คุณสมบัติที่น่าสนใจจริงๆ ตัวอย่างเช่น คุณสามารถล้างระบบสดของมัลแวร์บางตัวโดย
กำลังเขียนไปยัง RAM ผ่าน firewire หรือคุณอาจเจาะเข้าไปในเวิร์กสเตชันที่ถูกล็อกโดยการแก้ไขไบต์ในไฟล์
winlogon DLLs

ระบุเพิ่มเติม เสียบเข้าไป ไดเรกทอรี

สถาปัตยกรรมปลั๊กอินของความผันผวนสามารถโหลดไฟล์ปลั๊กอินจากหลายไดเร็กทอรีพร้อมกัน ใน
ซอร์สโค้ดความผันผวน ปลั๊กอินส่วนใหญ่อยู่ในความผันผวน/ปลั๊กอิน อย่างไรก็ตาม ยังมีอีก
ไดเร็กทอรี (volatility/contrib) ซึ่งสงวนไว้สำหรับการสนับสนุนจากนักพัฒนาบุคคลที่สามหรือ
ปลั๊กอินที่ได้รับการสนับสนุนอย่างอ่อนซึ่งไม่ได้เปิดใช้งานโดยค่าเริ่มต้น ในการเข้าถึงปลั๊กอินเหล่านี้ คุณเพียงแค่
พิมพ์ --plugins=contrib/plugins บน command-line นอกจากนี้ยังช่วยให้คุณสร้างไดเร็กทอรีแยกต่างหาก
ของปลั๊กอินของคุณเองซึ่งคุณสามารถจัดการได้โดยไม่ต้องเพิ่ม/ลบ/แก้ไขไฟล์ในคอร์
ไดเรกทอรีความผันผวน

หมายเหตุ:

* บนระบบ Debian ไดเร็กทอรี contrib/plugins จะอยู่ที่ /usr/share/volatility/contrib/plugins

* ไดเรกทอรีย่อยจะถูกสำรวจตราบใดที่มีไฟล์ __init__.py (ซึ่งอาจว่างเปล่า)
ภายในพวกเขา

* พารามิเตอร์ของ --plugins ยังสามารถเป็นไฟล์ zip ที่มีปลั๊กอินดังกล่าวได้
เป็น --plugins=myplugins.zip เนื่องจากวิธีการโหลดปลั๊กอิน ไดเร็กทอรีปลั๊กอินภายนอก
หรือไฟล์ zip ต้องระบุก่อนอาร์กิวเมนต์เฉพาะปลั๊กอินใดๆ (รวมถึงชื่อของ
เสียบเข้าไป). ตัวอย่าง:

ความผันผวน $ --plugins=contrib/plugins -f XPSP3x86.vmem example

การเลือกรูปแบบเอาต์พุต

โดยค่าเริ่มต้น ปลั๊กอินใช้ตัวแสดงข้อความกับเอาต์พุตมาตรฐาน หากคุณต้องการเปลี่ยนเส้นทางไปยังไฟล์ คุณ
แน่นอนสามารถใช้การเปลี่ยนเส้นทางของคอนโซล (เช่น > out.txt) หรือคุณสามารถใช้ --output-file=out.txt
เหตุผลที่คุณสามารถเลือก --output=FORMAT ได้ก็เพราะอนุญาตให้ปลั๊กอินแสดงเอาต์พุตเป็น HTML ด้วย
JSON, SQL หรืออะไรก็ตามที่คุณเลือก อย่างไรก็ตาม ไม่มีปลั๊กอินที่มีรูปแบบเอาต์พุตสำรองเหล่านั้น
กำหนดค่าไว้ล่วงหน้าสำหรับการใช้งาน ดังนั้นคุณจะต้องเพิ่มฟังก์ชันชื่อ render_html, render_json, render_sql,
ตามลำดับของแต่ละปลั๊กอินก่อนใช้ --output=HTML

ปลั๊กอินตัวเลือกเฉพาะ

ปลั๊กอินจำนวนมากยอมรับอาร์กิวเมนต์ของตนเอง ซึ่งไม่ขึ้นกับตัวเลือกส่วนกลาง เพื่อดู
รายการตัวเลือกที่มีให้พิมพ์ทั้งชื่อปลั๊กอินและ -h/-help บนบรรทัดคำสั่ง

$ dlllist ความผันผวน -h

โหมดการตรวจแก้จุดบกพร่อง

หากมีบางอย่างที่ไม่เกิดขึ้นใน Volatility ตามที่คาดไว้ ให้ลองรันคำสั่งด้วย -d/--debug
ซึ่งจะทำให้สามารถพิมพ์ข้อความแก้ไขจุดบกพร่องไปยังข้อผิดพลาดมาตรฐานได้ ในระดับการดีบักเพิ่มเติม เช่นเดียวกับการใช้
ดีบักเกอร์ pdb) เพิ่ม -d -d -d ให้กับคำสั่ง

ใช้ความผันผวนเป็นห้องสมุด

แม้ว่าจะเป็นไปได้ที่จะใช้ Volatility เป็นห้องสมุด (มีแผนที่จะสนับสนุนให้ดีขึ้นใน
อนาคต). ในปัจจุบัน ในการนำเข้าความผันผวนจากสคริปต์หลาม สามารถใช้โค้ดตัวอย่างต่อไปนี้:

$ หลาม
>>> นำเข้า volatility.conf เป็น conf
>>> นำเข้า volatility.registry เป็น registry
>>> registry.PluginImporter()

>>> config = conf.ConfObject()
>>> นำเข้า volatility.commands เป็นคำสั่ง
>>> นำเข้า volatility.addrspace เป็น addrspace
>>> registry.register_global_options(config, commands.Command)
>>> registry.register_global_options (config, addrspace.BaseAddressSpace)
>>> config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "ไฟล์:///media/memory/private/image.dmp"
>>> นำเข้า volatility.plugins.taskmods เป็น taskmods
>>> p = taskmods.PSList(config)
>>> สำหรับกระบวนการใน p.calculate():
...ขั้นตอนการพิมพ์

ตัวอย่าง

หากต้องการดูปลั๊กอิน โปรไฟล์ การตรวจสอบเครื่องสแกน และพื้นที่ที่อยู่ทั้งหมด:

ความผันผวน $ --info

เพื่อแสดงรายการกระบวนการที่ใช้งานอยู่ทั้งหมดที่พบใน MS Windows 8 SP0 ภาพ:

ความผันผวน $ -f win8.raw --profile=Win8SP0x86 pslist

เพื่อแสดงรายการกระบวนการที่ใช้งานอยู่ทั้งหมดที่พบใน MS Windows 8 SP0 ภาพโดยใช้เขตเวลา:

$ ความผันผวน -f win8.raw --profile=Win8SP0x86 pslist --tz=อเมริกา/Sao_Paulo

เพื่อแสดงเคอร์เนล bnuffer จาก Linux 3.2.63 ภาพ:

$ ความผันผวน -f mem.dd --profile=Linux_3_2_63_x64 linux_dmesg

หมายเหตุ

manpage นี้มีพื้นฐานมาจากการทดสอบและเอกสารทางการหลายฉบับเกี่ยวกับความผันผวน สำหรับ
ข้อมูลและบทช่วยสอนอื่น ๆ ดู:

· http://www.volatilityfoundation.org

· https://github.com/volatilityfoundation/การระเหย/วิกิ

ใช้ความผันผวนออนไลน์โดยใช้บริการ onworks.net