KaniVola

KaniVolaはThe Volatility Framework (volatility)のWindows用GUIインターフェースです。CLIであるVolatilityを実行する際に指定する複数のオプションを、少ない操作で入力し実行結果を簡単に保存できることを目的としています。

KaniVola 0.11

 

使い方

基本的には左上から、対象ファイル > プロファイル > カテゴリ > コマンドの順に選択することにより、volatilityを実行する際のオプションが"実行コマンド"の項目に入力されます。"実行"ボタンを押すと"実行コマンド"の項目内容に従いvolatilityを実行しますが、必要であれば直接編集してから実行することも可能です。

プロファイル欄に表示されないWindowsのプロファイルやLinuxやMacのプロファイルを指定したい場合はプロファイルを参照してください。

volatilityには多数のコマンドが用意されているため、カテゴリ項目で分類しています。原則は公式サイトの分類に従っていますが、ドキュメントに記載されていないコマンドで分類が難しいと判断したコマンドは"その他"に配置しています。

"コミュニティ"のカテゴリでは、コミュニティ用のプラグインやGithubで公開されているVolatility用のサードパーティプラグインを選択できるようにしています。ライセンス上制約がなく、動作確認したプラグインを取り込んでいます。

 

オプション

デフォルト状態では実行結果を下の領域に表示するとともに、"出力フォルダ"の項目で指定されたフォルダ配下に"コマンド名.txt"の形式で保存します。これらの動作はオプションの項目で変更することが可能です。また、"出力フォルダ"の内容は自動的に対象ファイルと同じ場所に設定しますが、必要に応じて変更してください。

タイムゾーンはデフォルトではJSTで出力しますが、UTCにしたい場合はチェックを外してください。

pluginsのオプションは追加で試したいプラグインを使うために用意したオプションです。

 

ダウンロード

KaniVola_0.12_x64.zip (SHA256: 48bef6de4657d3b2ca773b858602d036b3b59889cc9d9047bb75bcd503f0c5f5)
KaniVola_0.11_x64.zip (SHA256: bda39ea6cfa05c1c5b469d958685e9ef7c3ff5da9bb55dd0fb33e9cd50a182e9)

ソースコードはgithubで公開しています。
https://github.com/4n6ist/KaniVola

また、volatility.exeは、公式サイトのリポジトリからフォークし、https://github.com/4n6ist/volatility/tree/kanivolaで管理しているソースコードから生成しています。

 

ライセンス

GPLv2

 

更新履歴

2018/06/09

KaniVola 0.12をリリースしました。以下が追加/変更点です。

  • volatility.exeを独自管理しているファイルに切替
  • Windows用プロファイルの追加
  • 動作確認済のコミュニティプラグインの追加

2017/07/19

KaniVola 0.11をリリースしました。以下が追加/変更点です。

  • volatility 2.6の実行ファイルをバンドル
  • AFF4の変換機能を用意(winpmem 2.1 post4の実行ファイルをバンドル)
  • コミュニティカテゴリを追加
  • -D/--dump-dirの入力フォームを廃止

2017/01/04

KaniVola 0.10をリリースしました。volatility 2.6に対応し、元のバイナリが64bit版になったため、KaniVolaも64bit版としています。32bit版で使う方はvolatility 2.5とKaniVola 0.91を利用してください。

2016/10/30

KaniVola 0.9.1をリリースしました。

2015/11/11

KaniVola 0.9をリリースしました。