KaniVola

KaniVolaはThe Volatility Framework (volatility)のWindows用GUIインターフェースです。CLIであるVolatilityを実行する際に指定する複数のオプションを、少ない操作で入力し実行結果を簡単に保存できることを目的としています。

KaniVola 0.11

 

使い方

基本的には左上から、対象ファイル > プロファイル > カテゴリ > コマンドの順に選択することにより、volatilityを実行する際のオプションが"実行コマンド"の項目に入力されます。"実行"ボタンを押すと"実行コマンド"の項目内容に従いvolatilityを実行しますが、必要であれば直接編集してから実行することも可能です。

プロファイル欄に表示されないWindowsのプロファイルやLinuxやMacのプロファイルを指定したい場合はプロファイルを参照してください。

volatilityには多数のコマンドが用意されているため、カテゴリ項目で分類しています。原則は公式サイトの分類に従っていますが、ドキュメントに記載されていないコマンドで分類が難しいと判断したコマンドは"その他"に配置しています。

"コミュニティ"のカテゴリに、コミュニティ用のプラグインやGithubで公開されているVolatility用のサードパーティプラグインを選択できるようにしています。以下の条件を満たしたプラグインのみを取り込んでいます。

  • Pythonの追加ライブラリが不要で、Volatility 2.6 Windows Standalone Executableの環境で動作するプラグイン
  • ライセンス上動作させるための調整や再配布が可能なプラグイン

コミュニティカテゴリのプラグインはhttps://github.com/4n6ist/community/で管理しています。

オプション

デフォルト状態では実行結果を下の領域に表示するとともに、"出力フォルダ"の項目で指定されたフォルダ配下に"コマンド名.txt"の形式で保存します。これらの動作はオプションの項目で変更することが可能です。また、"出力フォルダ"の内容は自動的に対象ファイルと同じ場所に設定しますが、必要に応じて変更してください。

タイムゾーンはデフォルトではJSTで出力しますが、UTCにしたい場合はチェックを外してください。

pluginsのオプションは追加で試したいプラグインを使うために用意したオプションです。

ダウンロード

KaniVola_0.11_x64.zip (SHA256: bda39ea6cfa05c1c5b469d958685e9ef7c3ff5da9bb55dd0fb33e9cd50a182e9)
KaniVola_0.10_x64.zip (SHA-256: 5eac593e890b963b7bfdf6a9da66d5c825d6cbb7f49945bb8235244f9b447032)
KaniVola_0.9.1.zip (SHA-256: c9b5e0f8bd685f4db0641570506cbdacd4d201d4ddd2f7114846c0117fa68bf7)

ソースコードはgithubで公開しています。
https://github.com/4n6ist/KaniVola

ライセンス

GPLv2

更新履歴

2017/07/19

KaniVola 0.11をリリースしました。以下が追加/変更点です。

  • volatility 2.6の実行ファイルをバンドル
  • AFF4の変換機能を用意(winpmem 2.1 post4の実行ファイルをバンドル)
  • コミュニティカテゴリを追加
    • -D/--dump-dirの入力フォームを廃止

    2017/01/04

    KaniVola 0.10をリリースしました。volatility 2.6に対応し、元のバイナリが64bit版になったため、KaniVolaも64bit版としています。32bit版で使う方はvolatility 2.5とKaniVola 0.91を利用してください。

    2016/10/30

    KaniVola 0.9.1をリリースしました。

    2015/11/11

    KaniVola 0.9をリリースしました。