Da habe ich doch bei der Heise-Meldung „Microsoft kauft Anti-Rootkit-Firma“ nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte. Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte man Speicherabbilder von Windows-Systemen im raw- bzw. dd-Format analysieren.
AAron Walters hat dann Ende 2007 ein ähnliches Framework unter dem Namen Volatility veröffentlicht – im Vergleich zu den Volatools ist der Quellcode aber verfügbar. Mit Volatility lassen sich ebenfalls Hauptspeicherabbilder von einem Windowssystem (XP SP2) analysieren. Man erhält dann Informationen über die laufenden Prozesse, die geöffneten Netzwerk Sockets, die aktiven Netzwerkverbindungen, die geladenen Bibliothelen, die durch die einzelnenen Prozesse geöffneten Dateien usw.