windows下volatility3-2.7.0内存取证工具安装及遇到的问题解决方法

已于 2024-06-02 19:28:03 修改
阅读量1k 收藏 25
点赞数 10
文章标签: python
于 2024-06-02 14:46:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44697846/article/details/139390906
版权

Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。

一、环境安装

Volatility2.6是基于Python2来实现的,而Volatility3的基于Python3来实现的。

根据要安装的版本,先安装对应的python版本。

打开cmd,输入python可以看到是都安装python以及版本。我安装的是3.11

二、Volatility3下载安装

在官网找到自己合适的版本下载即可
1.安装包安装(这是版本2 的方法,我没用这个)
cmd下运行volatility_2.6_win64_standalone.exe -h 即可
2.源码包安装:
下载源码包,解压,cmd到源码包里面 
pip3 install -r requirements.txt          //安装依赖包
pip3 install -r requirements-minimal.txt      //安装必要的安装包
查看是否安装成功 
python vol.py -h  
python vol.py -f /home/user/samples/stuxnet.vmem windows.info

三、遇到的问题与解决办法:

1.提示“  No module named 'yara'
这里要安装 yara-python 
pip3 install yara-python

不要安装yara,安装了之后会报错“ AttributeError: function 'lookup_rule' not found

如报错,执行
2.could not find module:C:\Program Files\Python311\DLLs\libyara.dll
直接搜索“C:\Program Files\Python311\DLLs\libyara.dll”。
下载后,名字改为libyara.dll,放到提示的文件夹下,解决该问题。
3. 提示: Unable to validate the plugin requirements: ['plugins.Bash.kernel.layer_name', 'plugins.Bash.kernel.symbol_table_name']

要下载对应的symbol file :下载地址:

https://gitcode.com/volatilityfoundation/volatility3/overview?utm_source=csdn_github_accelerator&isLogin=1

https://gitee.com/nepko/volatility3#https://gitee.com/link?target=https%3A%2F%2Fdownloads.volatilityfoundation.org%2Fvolatility3%2Fsymbols%2Fwindows.zip

下载下来的符号表zip文件(不要解压)必须按名称放入volatility3/symbols目录中。

找不到的Windows符号会被查询、下载、生成并缓存。

Mac和Linux的符号表需要使用像dwarf2json这样的工具手动创建。

查看系统基本信息(windows.info)  参考:Volatility3内存取证工具使用详解-CSDN博客

  1. SystemTime可以看出镜像制作的时间 2016-11-14
  2. NTBuildLab 可以看出来是 xp Windows操作系统
馒头的好朋友
关注
  • 10
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows
volatility3-develop-内存镜像分析工具
最新发布
06-30
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存...
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 3801
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
volatility内存取证
yuyu
04-21 1015
本文主要讲述volatility软件的安装与使用
内存取证工具 -- Volatility工具使用
weixin_54517170的博客
08-03 2577
内存取证工具 -- Volatility工具使用
windows安装Volatility3
weixin_74062643的博客
03-26 796
windows安装Volatility3
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 7919
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 6192
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
Volatility Windows 下载及使用の小结
这个人很懒,什么都懒得写
05-03 4030
首先进入网站进行下载: Volatility 2.6 Release 选择第一个进行下载 这时候将将镜像移动到同一目录下 第一次用,没什么经验,以为双击打开volatility 2.6就可以直接使用了 但没想到会闪退报错: 使用cmd命令行可以解决问题: 在此输入cmd打开,问题解决~ ...
Volatility3安装
ShenZ的博客
10-19 3598
Volatility3安装 工具地址:https://github.com/volatilityfoundation/volatility3 安装 git clone https://github.com/volatilityfoundation/volatility3.git python3 vol.py -h 系统缺少pycrypto,distorm这两个辅助包而无法加载相应插件 安装辅助包 下载pycrypto: https://pypi.org/project/pycrypto/#files 下
volatility3:波动率3.0的发展
04-08
易失性3:易失性内存提取框架 易失性是世界上使用最广泛的框架,用于从易失性存储器(RAM)样本中提取数字伪像。 提取技术的执行完全独立于要研究的系统,但提供了系统运行时状态的可见性。 该框架旨在向人们介绍与从易失性存储器样本中提取数字伪像相关的技术和复杂性,并为进一步开展这一激动人心的研究领域提供了平台。 在2019年,Volatility Foundation发布了对框架Volatility 3的完全重写。该项目旨在解决与原始代码库相关的许多技术和性能挑战,这些挑战在过去10年中变得显而易见。 重写的另一个好处是,可以根据更符合Volatility社区目标的自定义许可证(即Volatility软件许可证(VSL))发布Volatility 3。 有关更多详细信息,请参见文件。 要求 Python 3.5.3或更高版本。 Pefile 2017.8.1或更高版本。 可选依赖项 yar
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
内存取证软件 Volatility等
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
内存取证工具及依赖.rar
08-17
内存取证是一种重要的数字调查技术,它涉及到从计算机的内存(RAM)中收集证据,以解决安全事件、犯罪调查或企业内部审计等问题。在本压缩包文件"内存取证工具及依赖.rar"中,我们重点关注的是在Kali Linux环境中...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
在实际的CTF比赛中,参赛者通常会遇到如“陇剑杯”这样的内存分析挑战,需要利用Volatility等工具对虚拟机内存进行深入分析,查找隐藏的线索和证据。通过熟练掌握Volatility的使用,可以极大地提高在网络安全领域...
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6304
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
Windows内存取证的内容和方法分别有哪些?
04-24
对于Windows内存取证,内容和方法如下: 1. 内容: - 内存中存在的进程、线程、文件等信息 - 内核对象 - 系统信息、配置信息等 - 应用程序的内存信息 - 网络连接信息 2. 方法: - 静态取证:将内存中的数据整个拷贝到文件中,然后进行分析 - 动态取证:使用工具从运行中的内存中提取相关信息,如:Volatility、Rekall等工具 - 内核调试技术:使用调试器进行内核调试,实时取证 注意:以上为技术性问题,回答仅供参考。具体情况需要根据具体环境和要求进行分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值