我也是找了好久的资料才搞好的
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。
Volatility 安装:
github项目地址:Volatility Foundation · GitHub
到目录文件下 make install 或者 python2 setup.py install 进行安装
安装完成后执行 python2 vol.py -h 可以看到版本号即为安装成功
安装完成过后可以使用但是有很多报错,由于该kali版本的python2和python3是共存的,但是vol2.6又是基于python2的,所以会导致库有问题。
通过下面的报错分析:
ImportError: No module named Crypto.Hash
ImportError: No module named distorm3
可以得出我们的Crypto和distorm3有问题
其实Crypto Pycrypto Pycryptodome这三个东西是同一个东西,Crypto 在Python上的名字是叫Pycrypto,是一个第三方库,而Pycrypto作者已经停更了所以会装不上,现在,他来了!!Pycryptodome是Pycrypto的延伸版本,语法都是一样的,所以我们直接
pip2 install pycryptodome,这边报错我没有pip2 先安装一下pip2
pip2的安装
kali的python2官方说不维护和更新了,但很多工具都是在python2.7环境下使用,下载模块需要用到pip2工具。
- 安装setuptools-18.5
wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz
(这里我用windows下载到本地了,kali远程下载速度太慢!)
tar -zxvf setuptools-18.5.tar.gz
cd setuptools-18.5/
sudo python2 setup.py build
sudo python2 setup.py install
解压压缩包
解压缩命令:
命令:tar -zxvf 压缩文件名.tar.gz -C /指定路径
eg:tar -zxvf demo.tar.gz -C /home
2. 安装pip2
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py(同上,在本地起一个.py文件,
所有内容复制粘贴到本地)sudo python2 get-pip.py
pip2 安装完成,继续操作
安装pycryptodome
安装完成之后报错减少了
安装distorm3
没有报错了