プロファイル

Volatilityでは解析対象のOS、バージョン、32bit/64bitなどの情報をプロファイルとして指定する必要があります。KaniVolaはドロップダウンリストで選択できるようにしていますが、標準で表示されないプロファイルの扱い方を説明します。

Windows

VolatilityにはデフォルトでほぼすべてのWindowsプロファイルが組み込まれていますが、かなり数が多いためKaniVolaでは古いバージョン/サービスパック(WinXPSP2x86など)をデフォルトではドロップダウンリスト上に表示しないようにしています。

KaniVola Profile 01

このドロップダウンリストに表示する内容は、confフォルダ配下のprofiles.txtと対応しています。解析対象のプロファイルが表示されない場合はprofiles.txtを編集し、コメント扱いの「//」文字列を外すかプロファイル名を追記してください。

KaniVola Profile 02

上記のようにWin7SP0x64のコメントを外してからKaniVolaを再起動すると、プロファイルメニューに表示されるようになります。

KaniVola Profile 03

Mac OS X/Linux

Mac OS XやLinuxのプロファイルは組み込まれていないため、公開されているプロファイルを入手するか自分で作成してから追加指定する必要があります。公開されているプロファイルは以下から入手可能です。

Volatility profiles for Linux and Mac OS X
https://github.com/volatilityfoundation/profiles

KaniVola.exeのあるフォルダにprofilesフォルダを作成して、プロファイル(zip)を配置します。以下はMac OS X 10.9.3用のプロファイルを配置しています。

KaniVola Profile 04

KaniVolaのプロファイル項目でLinux/Macを選択するとprofilesフォルダに配置したプロファイルを認識し、以降は選択できるようになります。

KaniVola Profile 05

KaniVola Profile 06