أداة Volatility

تُعد أداة Volatility الأكثر شهرة واستخداماً في العالم للتحقيق الجنائي الرقمي في الذاكرة العشوائية (Memory Forensics). هي أداة مفتوحة المصدر مكتوبة بلغة “بايثون”، صُممت خصيصاً لاستخراج وتحليل الأدلة الرقمية من “نسخ الذاكرة” (Memory Dumps) التي تُؤخذ من الأجهزة أثناء تشغيلها.

لماذا نستخدم Volatility؟

في التحقيقات الجنائية، لا يكفي فحص القرص الصلب (Hard Drive) لأن الكثير من الأدلة الحيوية تختفي بمجرد إغلاق الجهاز. هنا يأتي دور Volatility لتحليل الذاكرة (RAM) التي تحتوي على:

عمليات نشطة (Processes): حتى تلك التي يحاول المخترق إخفاءها.

اتصالات شبكة: عناوين IP التي كان الجهاز يتصل بها لحظة سحب نسخة الذاكرة.

كلمات مرور مفكوكة التشفير: مخزنة مؤقتاً في الذاكرة.

برمجيات خبيثة (Malware): العديد من الفيروسات الحديثة تعمل فقط داخل الذاكرة ولا تترك ملفات على القرص الصلب (Fileless Malware).

الميزات الرئيسية

دعم واسع للأنظمة: تدعم تحليل الذاكرة لأنظمة Windows، Linux، macOS، وحتى Android.

نظام الإضافات (Plugins): تعتمد الأداة على مئات الإضافات البرمجية، حيث تقوم كل إضافة بمهمة محددة (مثل جلب قائمة العمليات، أو استخراج سجل المتصفح).

مرونة التنسيق: يمكنها التعامل مع تنسيقات متعددة لصور الذاكرة مثل Raw dumps، VMware snapshots، و VirtualBox core dumps.

الفرق بين الإصدارين (2 و 3)

الصدار الثاني Volatility 2: يعتمد على لغة Python 2. يشتهر بنظام “الملفات الشخصية” (Profiles) حيث كان يجب على المحلل تحديد نوع نظام التشغيل بدقة ليتمكن من التحليل.

الصدار الثالث Volatility 3: هو الإصدار الأحدث والأسرع، ويعتمد على Python 3. يتميز بأنه “ذكي” حيث يقوم بتحديد نظام التشغيل تلقائياً باستخدام الرموز (Symbols)، مما يجعله أسهل بكثير في الاستخدام وأكثر دقة مع الأنظمة الحديثة.