一、介绍
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
二、安装
1.克隆Volatility库到本地
git clone https://github.com/volatilityfoundation/volatility
2.安装相关依赖
(1)crypto
pip2 install pycryptodome
//若安装失败,可以在切换国内源下载
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple
这里也可能提示你没有安装pip,根据提示安装pip就行
(2)distorm3
git clone https://github.com/vext01/distorm3
再使用python2进行编译
python2 setup.py install
(3)在volatility目录下进行编译
sudo python2 setup.py install
(4)输入vol.py测试
三、简单命令
vol.py --help
#查看帮助
vol.py --info
#查看插件
四、基本使用
1.查看系统基本信息
vol.py -f secret.raw imageinfo
首先要进入到vol.py这个文件所在的目录下,然后把要分析的文件也放在这个目录下,然后再用上述命令进行分析
一般用Suggested Profile(s)的第一个结果作为值
然后我们可以尝试查看一下桌面文件
vol.py -f secret.raw --profile=Win7SP1x64 filescan | grep 'Desk'
基本上的安装就到这里差不多就结束了,这也表明安装成功,可以使用了
标签:教程,vol,py,install,python2,安装,Volatility From: https://www.cnblogs.com/Jinx8823/p/16642215.html