一、准备工作
(1)下载所需文件并解压
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客
在此博客按照教程下载所需文件
先将volatility-master.zip distorm3-master.zip hotoloti-master.zip(里面有mimikatz.py)准备好
再将它们统统解压
(2)将mimikatz.py移动至volatility-master/volatility/plugins/目录下
将hotoloti-master.zip里的mimikatz.py放入volatility-master/volatility/plugins/目录下
(3)在解压后的Volatility目录与distorm3目录下进行编译
在root权限下分别在解压后的Volatility目录与distorm3目录下进行编译
python2 setup.py install
二、安装pip pip2 setuptools 与相关插件
(1)在root权限下安装pip与pip2
1.安装pip
在终端输入pip,会询问是否安装pip,一路y下去
2.安装pip2
解决kali linux pip2与pip3共存_kali pip2-CSDN博客
照着上面一步一步来
(2)在root权限下安装setuptools
pip 安装包时 error: invalid command 'egg_info' 解决办法-CSDN博客
是的,出现error: invalid command 'egg_info'错误时就是setuptools没装
(3)在root权限下安装相关插件
插件
Distorm3(反编译库):pip install distorm3
Yara(恶意软件分类工具):pip install yara
PyCrypto(加密工具集):pip install pycrypto
PIL(图片处理库):pip install pillow
OpenPyxl(读写excel文件):pip install openpyxl
ujson(JSON解析):pip install ujson
三、解决yara库的问题
终端输入 vol.py 发现 (这是yara库的问题)
参考:(volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)_volatility -f memory.raw --profile=win7sp1x64 scre-CSDN博客)
输入 pip install yara
找到yara路径
/usr/local/lib/python2.7/dist-packages
找到libyara.so所在路径
/usr/local/lib/python2.7/dist-packages/usr/lib/
之后在root终端输入(路径不一样可以对着改一改)
ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so
四、安装construct库并测试
vol.py后发现还差个construct
pip install construct即可
之后试一个内存取证的题看看
把需要分析的内存镜像文件拖入volatility-master文件夹里执行
python2 vol.py -f Challenge.raw imageinfo
#f:指定分析的内存镜像文件名
imageinfo是Volatility中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息,以及确定应该使用哪个插件进行内存分析
我的内存镜像文件源于
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客
你可以照着此博客上的步骤来熟悉volatility