volatility安装和出现的问题及解决方法

已于 2024-04-25 16:24:07 修改
阅读量2.6k 收藏 31
点赞数 42
文章标签: 学习
于 2023-12-10 16:19:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clotten/article/details/134909943
版权

一、准备工作

(1)下载所需文件并解压

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客

在此博客按照教程下载所需文件

先将volatility-master.zip distorm3-master.zip hotoloti-master.zip(里面有mimikatz.py)准备好

再将它们统统解压

(2)将mimikatz.py移动至volatility-master/volatility/plugins/目录下

将hotoloti-master.zip里的mimikatz.py放入volatility-master/volatility/plugins/目录下

(3)在解压后的Volatility目录与distorm3目录下进行编译

在root权限下分别在解压后的Volatility目录与distorm3目录下进行编译

python2 setup.py install

二、安装pip pip2 setuptools 与相关插件

(1)在root权限下安装pip与pip2

1.安装pip

在终端输入pip,会询问是否安装pip,一路y下去

2.安装pip2

解决kali linux pip2与pip3共存_kali pip2-CSDN博客

照着上面一步一步来

(2)在root权限下安装setuptools

pip 安装包时 error: invalid command 'egg_info' 解决办法-CSDN博客

是的,出现error: invalid command 'egg_info'错误时就是setuptools没装

(3)在root权限下安装相关插件

插件

Distorm3(反编译库):pip install distorm3

Yara(恶意软件分类工具):pip install yara

PyCrypto(加密工具集):pip install pycrypto

PIL(图片处理库):pip install pillow

OpenPyxl(读写excel文件):pip install openpyxl

ujson(JSON解析):pip install ujson

三、解决yara库的问题

终端输入 vol.py 发现 (这是yara库的问题)

参考:(volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)_volatility -f memory.raw --profile=win7sp1x64 scre-CSDN博客

输入 pip install yara

找到yara路径

/usr/local/lib/python2.7/dist-packages

找到libyara.so所在路径

/usr/local/lib/python2.7/dist-packages/usr/lib/

之后在root终端输入(路径不一样可以对着改一改)

ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so

四、安装construct库并测试

vol.py后发现还差个construct

pip install construct即可

之后试一个内存取证的题看看

把需要分析的内存镜像文件拖入volatility-master文件夹里执行

python2 vol.py -f Challenge.raw imageinfo

#f:指定分析的内存镜像文件名

imageinfo是Volatility中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息,以及确定应该使用哪个插件进行内存分析

我的内存镜像文件源于

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型_ctf 内存取证-CSDN博客

你可以照着此博客上的步骤来熟悉volatility

clotten
关注
  • 42
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
kali 安装volatility_电子取证技术之实战Volatility工具
weixin_39606396的博客
12-18 1058
原标题:电子取证技术之实战Volatility工具本文转载自公众号:安全龙作者:beswingVolatility安装这次讲的是在linux下的取证,所以我安装的也是linux平台下的Volatility。在https://code.google.com/archive/p/volatility/ 下载源代码,或者使用我分享的源码,http://pan.baidu.com/s/1o8JOQV4...
kali--volatility安装
(●'◡'●)
07-14 6898
直接下载安装包放在kali上,在本目录的命令窗口打开 (安装包在下边 在使用前建议先安装 库 distorm3 PyCryptodome/pycrypto(这个好像不能安了,但可以试试) 我是直接pip install distorm3 可能要完善pip2的包 见招拆招吧 因为volatility在python2.6以上的环境运行,我的kali里默认使用python3的版本所以不使用,这里涉及了python 2和3不同的编程问题,反正出现错误 试试我的方法,不行就爱莫能助了 使用方法可以看看.
取证工具volatility的下载、使用
最新发布
ndjnddjxn的博客
06-12 1156
Volatility可以还原系统崩溃或重启前的运行状态,包括进程、网络连接、文件操作等,为取证人员提供重要的线索。:Volatility可以分析被恶意软件感染的系统内存,帮助取证人员识别恶意软件的行为、进程和可能的隐藏技术。:通过内存取证,Volatility可能能够获取到用户输入到系统中的密码信息,这有助于在取证过程中破解密码。你运行命令的时候可能是你正在尝试使用Python 2的语法来运行一个期望Python 3语法的。的内存镜像文件进行分析,并导出进程ID为1234的进程的内存内容到。
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
Volatility2安装
weixin_72667582的博客
04-30 690
7.使用wget去github下载并命名为mimikatz.py。5.查看volatility安装目录。1.安装distorm3。
volatility安装及使用
热门推荐
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用。 volatility的依赖包: # yum install pc
volatility安装+插件安装(mimikatz)
sbingmo的博客
07-11 1万+
volatility安装+插件安装(mimikatz)
volatility_2.6_win64system_standalone.rar
10-08
5. **社区支持**:Volatility有一个活跃的开发者和用户社区,不断更新和改进工具,提供丰富的资源和技术支持。 在实际应用中,使用Volatility进行内存取证可能涉及以下步骤: 1. **获取内存转储**:首先,需要获取...
volatility_2.6_mac64_standalone.zip
05-16
Volatility 2.6是该框架的一个重要版本,它提供了丰富的插件和工具,能够对多种操作系统,包括Windows、Linux和macOS进行内存分析。Mac64版本特别针对苹果的64位架构进行了优化,确保在macOS平台上高效、稳定地运行...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility_plugins:一些波动性插件
05-05
CAVEAT:这些仅适用于并且仅在64位Linux系统上进行了测试。 必须为32位系统定义一个不同的VType。 下面的用法说明假定波动性已经与依赖项一起安装。 仅支持最新版本(不支持发布的版本2.4或2.4.1,而是实际的最新母版)。 linux_python_strings 最初,此插件从运行的python进程的内存中提取python字符串。 vol.py \ --plugins=profiles:<other>:<path>/plugins \ --profile=<profile> \ -f <path> \ linux_python_strings -p <PID> --dump-dir . 这将打印出PI
volatility-plugins, 我为波动而编写的插件.zip
09-17
volatility-plugins, 我为波动而编写的插件 用户定义的波动插件我所做的插件:uninstallinfo.py - 从内存转储 HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallprefetch.py - 扫描预取文件的内存和转
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证 volatility
07-12
然后,你需要安装Volatility并配置相应的配置文件,以指定内存映像路径、操作系统版本和其他相关参数。 在运行Volatility时,你需要选择适合目标系统的插件。例如,如果你正在调查一个Windows系统,你可以使用`...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6842
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 8080
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
kali安装volatility
09-06
要在Kali Linux上安装Volatility,您可以按照以下步骤进行操作: 1. 打开终端并确保您的系统已更新: ``` sudo apt update sudo apt upgrade ``` 2. 安装Volatility依赖项: ``` sudo apt install python3-distorm3 python3-pycryptodome ``` 3. 克隆Volatility的GitHub存储库: ``` git clone https://github.com/volatilityfoundation/volatility.git ``` 4. 进入克隆的目录: ``` cd volatility ``` 5. 安装Volatility: ``` sudo python3 setup.py install ``` 安装完成后,您应该能够在终端中运行Volatility命令行工具,并开始分析内存映像文件。请注意,使用Volatility需要有一定的计算机取证知识和经验。如果您不熟悉内存分析或计算机取证,请确保事先学习相关知识或寻求专业帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值