volatility安装和出现的问题及解决方法

已于 2024-04-25 16:24:07 修改
阅读量2.7k 收藏 31
点赞数 42
文章标签: 学习
于 2023-12-10 16:19:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clotten/article/details/134909943
版权
本文详细介绍了如何在Linux环境下下载、解压、编译volatility、distorm3等工具,安装pip、setuptools及相关插件,解决yara库问题,并安装construct库,以便进行内存取证。
摘要由CSDN通过智能技术生成

一、准备工作

(1)下载所需文件并解压

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客

在此博客按照教程下载所需文件

先将volatility-master.zip distorm3-master.zip hotoloti-master.zip(里面有mimikatz.py)准备好

再将它们统统解压

(2)将mimikatz.py移动至volatility-master/volatility/plugins/目录下

将hotoloti-master.zip里的mimikatz.py放入volatility-master/volatility/plugins/目录下

(3)在解压后的Volatility目录与distorm3目录下进行编译

在root权限下分别在解压后的Volatility目录与distorm3目录下进行编译

python2 setup.py install

二、安装pip pip2 setuptools 与相关插件

(1)在root权限下安装pip与pip2

1.安装pip

在终端输入pip,会询问是否安装pip,一路y下去

2.安装pip2

解决kali linux pip2与pip3共存_kali pip2-CSDN博客

照着上面一步一步来

(2)在root权限下安装setuptools

pip 安装包时 error: invalid command 'egg_info' 解决办法-CSDN博客

是的,出现error: invalid command 'egg_info'错误时就是setuptools没装

(3)在root权限下安装相关插件

插件

Distorm3(反编译库):pip install distorm3

Yara(恶意软件分类工具):pip install yara

PyCrypto(加密工具集):pip install pycrypto

PIL(图片处理库):pip install pillow

OpenPyxl(读写excel文件):pip install openpyxl

ujson(JSON解析):pip install ujson

三、解决yara库的问题

终端输入 vol.py 发现 (这是yara库的问题)

参考:(volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)_volatility -f memory.raw --profile=win7sp1x64 scre-CSDN博客

输入 pip install yara

找到yara路径

/usr/local/lib/python2.7/dist-packages

找到libyara.so所在路径

/usr/local/lib/python2.7/dist-packages/usr/lib/

之后在root终端输入(路径不一样可以对着改一改)

ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so

四、安装construct库并测试

vol.py后发现还差个construct

pip install construct即可

之后试一个内存取证的题看看

把需要分析的内存镜像文件拖入volatility-master文件夹里执行

python2 vol.py -f Challenge.raw imageinfo

#f:指定分析的内存镜像文件名

imageinfo是Volatility中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息,以及确定应该使用哪个插件进行内存分析

我的内存镜像文件源于

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客

你可以照着此博客上的步骤来熟悉volatility

clotten
关注
  • 42
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
内存取证-volatility安装
admin的博客
07-02 913
Volatility 2.6 Release
windowsvolatility3-2.7.0内存取证工具安装及遇到的问题解决方法
weixin_44697846的博客
06-02 1566
windowsvolatility3-2.7.0内存取证工具安装问题解决方法
windows安装Volatility3
weixin_74062643的博客
03-26 937
windows安装Volatility3
kali2024上Volatility安装(无报错)
最新发布
2301_80110280的博客
07-15 819
接下来就是解决distorm3的问题,如果使用pip2 install distorm3会发现有egg_info报错的问题,查阅之后发现说是没有安装setuptools,查到最后会发现setuptools是python3里面的,然后如果用pip2安装的话,又因为2022版本之后kali官方不支持python2了,使用命令安装这个时就会报错,所以这个途径就不了了之。这样一来输入vol.py就不会再出现报错了,以及之后要是还要下载什么插件之类的,都可以去使用:将其源码包下载之后,放到。
volatility安装及使用
热门推荐
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用。 volatility的依赖包: # yum install pc
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
volatility安装+插件安装(mimikatz)
sbingmo的博客
07-11 1万+
volatility安装+插件安装(mimikatz)
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
volatility_2.6_win64system_standalone.rar
10-08
5. **社区支持**:Volatility有一个活跃的开发者和用户社区,不断更新和改进工具,提供丰富的资源和技术支持。 在实际应用中,使用Volatility进行内存取证可能涉及以下步骤: 1. **获取内存转储**:首先,需要获取...
volatility_2.6_mac64_standalone.zip
05-16
Volatility 2.6是该框架的一个重要版本,它提供了丰富的插件和工具,能够对多种操作系统,包括Windows、Linux和macOS进行内存分析。Mac64版本特别针对苹果的64位架构进行了优化,确保在macOS平台上高效、稳定地运行...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility_plugins:一些波动性插件
05-05
CAVEAT:这些仅适用于并且仅在64位Linux系统上进行了测试。 必须为32位系统定义一个不同的VType。 下面的用法说明假定波动性已经与依赖项一起安装。 仅支持最新版本(不支持发布的版本2.4或2.4.1,而是实际的最新母版)。 linux_python_strings 最初,此插件从运行的python进程的内存中提取python字符串。 vol.py \ --plugins=profiles:<other>:<path>/plugins \ --profile=<profile> \ -f <path> \ linux_python_strings -p <PID> --dump-dir . 这将打印出PI
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility-plugins, 我为波动而编写的插件.zip
09-17
volatility-plugins, 我为波动而编写的插件 用户定义的波动插件我所做的插件:uninstallinfo.py - 从内存转储 HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallprefetch.py - 扫描预取文件的内存和转
内存取证 volatility
07-12
然后,你需要安装Volatility并配置相应的配置文件,以指定内存映像路径、操作系统版本和其他相关参数。 在运行Volatility时,你需要选择适合目标系统的插件。例如,如果你正在调查一个Windows系统,你可以使用`...
kali 安装volatility_电子取证技术之实战Volatility工具
weixin_39606396的博客
12-18 1059
原标题:电子取证技术之实战Volatility工具本文转载自公众号:安全龙作者:beswingVolatility安装这次讲的是在linux下的取证,所以我安装的也是linux平台下的Volatility。在https://code.google.com/archive/p/volatility/ 下载源代码,或者使用我分享的源码,http://pan.baidu.com/s/1o8JOQV4...
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 7009
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
kali下安装Volatility
烟雨天青色
02-27 1万+
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
Volatility2安装
weixin_72667582的博客
04-30 701
7.使用wget去github下载并命名为mimikatz.py。5.查看volatility安装目录。1.安装distorm3。
kali安装volatility
09-06
要在Kali Linux上安装Volatility,您可以按照以下步骤进行操作: 1. 打开终端并确保您的系统已更新: ``` sudo apt update sudo apt upgrade ``` 2. 安装Volatility依赖项: ``` sudo apt install python3-distorm3 python3-pycryptodome ``` 3. 克隆Volatility的GitHub存储库: ``` git clone https://github.com/volatilityfoundation/volatility.git ``` 4. 进入克隆的目录: ``` cd volatility ``` 5. 安装Volatility: ``` sudo python3 setup.py install ``` 安装完成后,您应该能够在终端中运行Volatility命令行工具,并开始分析内存映像文件。请注意,使用Volatility需要有一定的计算机取证知识和经验。如果您不熟悉内存分析或计算机取证,请确保事先学习相关知识或寻求专业帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值