一、About Volatility
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
二、Install Volatility
Volatility官网:https://www.volatilityfoundation.org/releases
Gtihub volatility项目:https://github.com/volatilityfoundation/volatility
在这里推荐大家使用github上的volatility项目进行源代码安装。步骤如下:
1、克隆volatility项目源码到本地
git clone https://github.com/volatilityfoundation/volatility
2、安装volatility依赖
(1)distorm3
git clone https://github.com/vext01/distorm3
切换到distorm3目录下,并执行安装命令
cd distorm3
python2 setup.py install
(2)pycryptodome
pip2 install pycryptodome
# 若安装失败,尝试切换国内源后重试
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple
3、安装Volatility
切换到volatility目录下,并执行安装命令
cd volatility
python2 setup.py install
4、测试
任意目录下执行:vol.py --help(查看帮助)或vol.py --info(查看插件),若能正常显示相关信息,不报错,即为安装成功。
版权归原作者 烟雨天青色 所有, 如有侵权,请联系我们删除。