Volatility, geçici bellek (RAM) örneklerinden dijital eserleri çıkarmak için dünya çapında en yaygın kullanılan bir framework'tür. Bu framework, incelenen sistemden tamamen bağımsız olarak çalışır ve sistemin çalışma zamanı durumuna dair derinlemesine görünürlük sağlar. Amacı, insanları geçici bellek örneklerinden dijital eserleri çıkarma teknikleri ve bu alandaki karmaşıklıklarla tanıştırmak ve bu heyecan verici araştırma alanı için bir platform sunmaktır.
2019 yılında Volatility Foundation, framework'ün tamamen yeniden yazılmış hali olan Volatility 3'ü piyasaya sürdü. Bu proje, önceki 10 yılda ortaya çıkan orijinal kod tabanının birçok teknik ve performans zorluğunu çözmeyi hedefliyordu. Yeniden yazımın bir diğer faydası da, Volatility 3'ün Volatility topluluğunun hedefleriyle daha uyumlu olan özel bir lisans (Volatility Software License - VSL) altında yayınlanabilmesiydi. Volatility 3, Python 3.8.0 veya sonraki sürümlerini gerektirir ve PyPi registry'sinde mevcuttur. Kurulumu pip install volatility3 komutuyla kolayca yapılabilir. Geliştirme sürümünü kullanmak isteyenler için ise GitHub deposunu klonlayıp sanal bir ortamda kurmak önerilir.
Kullanımına gelince, vol -h komutu mevcut seçenekleri gösterir. Bir Windows bellek örneği hakkında bilgi almak için vol -f <imagepath> windows.info gibi komutlar kullanılır. Çeşitli işletim sistemleri için sembol tablo paketleri (Windows, Mac, Linux) Volatility Foundation'ın indirme sayfasından temin edilebilir ve volatility3/symbols dizinine yerleştirilmesi gerekmektedir. Bu sembol tabloları, analizlerin doğru bir şekilde yapılabilmesi için kritik öneme sahiptir.
Dijital adli tıp ve siber güvenlik alanında, sistemlerin çalışma zamanı durumunu anlamak ve bellekten kritik kanıtları çıkarmak için vazgeçilmez bir araçtır.