volatility2.6.1在Windows下搭环境和distorm3在py2下的编译

最新推荐文章于 2024-07-15 16:03:16 发布
最新推荐文章于 2024-07-15 16:03:16 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010607621/article/details/111598735
版权
本文介绍了在Windows环境下搭建volatility2.6.1所需依赖Crypto和distorm3的过程。针对distorm3在Python2下编译遇到的问题,通过修改源码并使用Visual Studio生成dll解决导入错误。
摘要由CSDN通过智能技术生成

volatility2.6.1需要Crypto和distorm3。实际上,即使没有这两样,一样能将内存dump转为windbg的dmp。不过还是来研究一下python的import功能。

Crypto比较坑,pip install pycrypto即可。不是install crypto。

distorm3最新版时3.5.1,py3下,直接pip install可以装。不过volatility用的时py2,在py2下pip install distorm3的时候报了一堆错

随将distorm3的源码包tar.gz下载下来,解压之,再执行setup.py编译。还是报错,诸如

distorm.c(320) : error C2143: syntax error : missing ';' before 'type'

之所以编译失败,是因为这些c文件并不严格符合c的语法。我改了这些c代码文件,将变量的声明和初始化放到代码段的开头,即可。

setup.py install后,再python27\lib\site-packages下会留下distorm3的egg文件。可是import distorm3的时候还是报错。

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "C:\Python27\lib\site-packages\distorm3\__init__.py", line 56, in <module>
    _distorm = _load_distorm()
  File "C:\Python27\lib\site-packages\distorm3\__init__.py", line 5

最低0.47元/天 解锁文章
sculida
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 6541
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
内存取证volatility工具命令详解
Y525698136的博客
01-04 2550
内存取证volatility工具命令详解
volatility获取哈希值报错
Takarada Rikka的博客
08-08 917
python vol.py hashdump -d -d -f "Windows 7-Snapshot2.vmem" --profile=Win7SP1x64 -y 0xfffff8a000024010 -s 0xfffff8a001294410 执行后报错,原因是缺少distorm3和pycrypto模块,但是这2个使用pip install 来安装又报错。 最后经过一番周折终于可以安装了...
kali2024上Volatility的安装(无报错)
最新发布
2301_80110280的博客
07-15 980
接下来就是解决distorm3的问题,如果使用pip2 install distorm3会发现有egg_info报错的问题,查阅之后发现说是没有安装setuptools,查到最后会发现setuptools是python3里面的,然后如果用pip2安装的话,又因为2022版本之后kali官方不支持python2了,使用命令安装这个时就会报错,所以这个途径就不了了之。这样一来输入vol.py就不会再出现报错了,以及之后要是还要下载什么插件之类的,都可以去使用:将其源码包下载之后,放到。
Volatility2.16 安装常见问题
qq_59706867的博客
12-05 514
具体操作可以看着连篇文章 Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估-CSDN博客 Kali Python2.7安装pip2和模块方法_kali安装pip2-CSDN博客
distorm3-3.3.4.zip
09-18
安装Sulley所需要的资源包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
反汇编引擎diStorm3
weixin_34291004的博客
06-09 224
2019独角兽企业重金招聘Python工程师标准>>> ...
推荐文章:diStorm3——强大的x86/AMD64反汇编库
gitblog_00012的博客
05-14 305
推荐文章:diStorm3——强大的x86/AMD64反汇编库 项目地址:https://gitcode.com/gdabah/distorm 1. 项目介绍 在二进制世界中,深入理解代码的底层细节是关键。这就是diStorm3大显身手的地方。这是一个高效的反汇编库,专为处理x86和AMD64架构而设计。作为一个分解器,diStorm3不仅能将指令转换为静态文本,还能生成描述其结构的二进制数据,这...
distorm3.3-package_code_
09-29
This is distorm 3.3 version
[笔记]Volatility 取证工具使用以及Hollow插件使用
二次元怪兽的博客
06-14 1611
Volatility内存取证使用Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。而Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。Volatility:https://github.com/volatilityfoundation/volatility win10 python2.7 DumpIt.exe执行时 报错 解决方案 htt
volatility内存取证软件,可用于windows环境
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
distorm:适用于x86AMD64的强大的反汇编程序库
05-02
适用于x86 / AMD64的强大反汇编程序库 欢迎来到diStorm3二进制流反汇编程序库项目。 diStorm3实际上是一个分解器,这意味着它接受一条指令并返回一个描述它的二进制结构而不是静态文本,这对于高级二进制代码分析非常有用。 diStorm3是超轻量级(〜45KB),超快速且易于使用(单个API),并已获得BSD许可! 有关轻量级挂钩库,请参见项目。 “我们对五个流行的开源反汇编库进行了基准测试,并选择了性能最高(而且具有完整的64位支持)的diStorm3。”,2014年7月,引用David Williams-King的论文“二进制改组”。 安装diStorm3-'python -m pip install distorm3' RTFM,Wiki有大量信息。
windows下的volatility取证分析与讲解
「 虚幻私塾」
04-03 1307
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使
内存取证 Volatility
orchid_sea的博客
03-01 939
内存分析工具 volatility,有Volatility2和Volatility3两种,分别基于Python2和Python3环境运行。说是一般Volatility2比Volatility3好用,所以我也选择的Volatility2版本。一般kali里面兼容了python2和Python3,但是pip命令执行的都是python3环境,没有配置pip2,因此需要自己下载安装。
记录一下kali linux配置volatility工具
m0_69869001的博客
05-19 465
然后pip2 install distorm3 或者 pip uninstall distorm3 && pip install distorm3。链接: https://pan.baidu.com/s/19chvzYa0qTt9ytELSvFVcA 提取码: zcgm。
volatility安装的各种报错问题
kinakouni的博客
02-21 1330
volatility报错的各种问题
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility安装在windows
06-28
### 回答1: 在 Windows 上安装 volatility 可以通过以下步骤进行: 1. 下载安装 Python,该软件是 volatility 的运行环境。 2. 下载 volatility 的源代码或者预编译的版本,然后解压。 3. 打开命令提示符,并进入到 volatility 的安装目录。 4. 运行命令: python setup.py install 5. 安装完成后,在命令提示符中输入 volatility 即可运行该软件。 ### 回答2: Volatility是一个用于内存分析的开源框架,可以用来提取运行中的操作系统的数据,以了解系统的状态、分析攻击事件和逆向病毒。本文将介绍如何在Windows操作系统上安装和使用Volatility。 1.环境准备 在安装Volatility之前,需要将安装路径添加到系统的环境变量中。可以在右键“计算机”->“属性”->“高级系统设置”->“环境变量”中找到。在“系统变量”中找到“Path”项,双击进行编辑,在最后加上Volatility的路径。 2. 安装Python Volatility需要Python 2.7.x的支持,所以要先在系统上安装Python。可以从Python官网下载安装包,按照安装提示进行安装即可。 3. 下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/downloads下载最新版本的Volatility,也可以使用Git进行获取。下载后解压到任意目录。 4. 安装Volatility 打开命令提示符,进入到刚才解压的目录,运行以下命令进行安装:python setup.py install 5. 检查是否安装成功 在命令提示符中输入以下命令:volatility -h,命令行应该显示出帮助信息,表示Volatility已经成功安装。 6. 使用Volatility Volatility提供了非常丰富的命令行工具,可以使用命令行完成各种内存分析任务。需要注意的是,使用Volatility需要对操作系统的原理和内存分析有一定的了解。在使用之前,可以先阅读一些基础文档或者参加培训课程进行学习。 总之,如果您需要进行内存分析,Volatility是一个非常不错的选择。通过上述的步骤,您可以在Windows操作系统上快速安装和使用Volatility。 ### 回答3: Volatility是一款用于分析内存映像的工具,可以帮助研究人员快速获得关于系统状态、进程信息、网络连接等方面的数据。在这里,我将详细介绍如何在Windows上安装Volatility。 1. 下载Python Volatility是基于Python开发的,因此在安装Volatility之前,需要先安装Python。可以从Python官网(https://www.python.org/downloads/windows/)下载适用于Windows的Python安装程序。 2. 安装pip pip是Python的一个软件包管理工具,可以帮助我们快速安装和管理Python软件包。在安装完成Python之后,需要在命令行中执行以下命令来安装pip: python get-pip.py 其中,get-pip.py是pip的安装程序,可以从https://bootstrap.pypa.io/get-pip.py 下载。 3. 安装Volatility 安装完了pip之后,就可以使用pip安装Volatility了。在命令行中执行以下命令: pip install volatility 这样,Volatility就安装完成了。 4. 选择扩展插件 在使用Volatility分析内存映像时,可能需要使用一些扩展插件,如:ProcDump、Malfind等。这些插件并不在Volatility的安装包中,需要手动下载并安装。可以选择到Volatility的官网(http://www.volatilityfoundation.org/releases)下载要使用的插件,下载后将其解压到Volatility的plugins目录中即可。 5. 开始使用Volatility 安装完Volatility和相关插件之后,就可以开始使用Volatility来分析内存映像了。在命令行中执行以下命令: volatility -f memory.img imageinfo 其中,memory.img是要分析的内存映像文件,imageinfo是Volatility提供的一个命令,用于显示内存映像的元数据信息。 总结: 通过以上步骤,我们可以在Windows上成功地安装Volatility,并在命令行中使用其进行内存分析。需要注意的是,Volatility的使用需要一定的专业知识和技能,建议配合相关培训或资料,以免造成不必要的损失。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值