總覽

波動率數據源處理器在內存映像上運行波動率，并保存單個波動率模塊結果。如果還可以使用與內存映像關聯的磁盤映像，它將創建“有趣的項目”工件，從而將“波動率”結果鏈接到磁盤映像中的文件。

該實驗模塊必須能夠運行該模塊。

用法

如果您有與內存映像關聯的磁盤映像，請首先將磁盤映像提取到機箱中。然后轉到“添加數據源”，然后選擇“內存映像文件”。

在下一個屏幕上，您可以選擇您的內存映像，然后調整設置以選擇配置文件和要運行的Volatility插件。

接下來，您將看到提取模塊配置面板。使用Volatility數據源處理器時，不會運行任何攝取模塊，因此只需單擊“下一步”按鈕。完成后，您可能會遇到一些非關鍵錯誤。這些通常來自無法在原始磁盤映像中找到文件的數據源處理器。如果在內存映像上運行Volatility數據源處理器之前未添加關聯的磁盤映像，則將出現大量此類錯誤，但Volatility模塊的輸出仍然可用。

結果

運行Volatility數據源處理器有兩種類型的結果：模塊輸出和有趣的項目（如果添加了磁盤映像）。“模塊輸出”部分位于樹中的內存映像下。

您也可以在“驗尸”案例文件夾中的“ ModuleOutput / Volatility”下查看“波動率”輸出。有趣的項目將Volatility找到的文件路徑與磁盤映像中的文件鏈接在一起。如果未添加磁盤映像，則不會有任何有趣的項目。