正如标题所言,此处笔者使用的volatility的版本为2.6版本,此volatility是ELF的程序,并非Python版本的volatility。本文主要解答在使用Linux可执行程序2.6版本的Volatility如何进行自定义插件的安装,关于Python版本的volatility如何安装插件,网上教程很多,此处笔者不做介绍。
在使用volatility的第三方插件之前,我们首先需要为第三方插件创建一个目录来存放这些插件。此处笔者将目录设置在了/usr/sbin/plugins;可以使用如下命令来创建这个目录
mkdir -p /usr/sbin/plugins
目录创建完毕之后,我们就可以将我们下载好的自定义插件放到目录中了(此处笔者以bitlocker.py为例),如下
可以看到此处笔者已经将插件放进到插件目录里面了,此时我们就可以使用这个插件了。
使用volatility的--plugins选项来指定这个目录。我们来看一下插件列表,使用命令
volatility --plugins=/usr/sbin/plugins --info
可以看到成功导入自定义插件bitlocker。随后我们就可以volatility中使用它了,使用命令如下:
volatility --plugins=/usr/sbin/plugins -f 1.dmp --profile Win7SP1x64 bitlocker
成功调用自定义插件bitlocker
**先别急着走!**这里需要注意一个问题,此处的--plugins选项必须在-f选项之前,否则自定义插件是没法加载进来的,如下:
这个问题的具体原因笔者也不得而知,只有大概的揣测,我就不发表不成熟的见解了;笔者写这篇博文的主要目的为填补空缺,网上关于ELF版本volatility如何安装插件的文章真的是少之又少,大部分人都是在搬抄Python版本的vol如何去安装插件,我在找寻资料的时候绕了好久,最终还是在自己的摸索下找出了解决方案,特地书写本篇文章,希望能够帮到各位师傅。
总之,文章如上,还请各位师傅多多指点。