你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来:
git clone https://github.com/volatilityfoundation/volatility.git
上面那个是本体的安装,需要安装一些插件
python setup.py build
python setup.py install
安装setup-tools
wget https://pypi.python.org/packages/45/29/8814bf414e7cd1031e1a3c8a4169218376e284ea2553cc0822a6ea1c2d78/setuptools-36.6.0.zip
unzip setuptools-36.6.0.zip
cd setuptools-36.6.0
python setup.py install
安装pip
wget https://pypi.python.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz
tar -zxvf pip-9.0.1.tar.gz
cd pip-9.0.1
python setup.py install
安装python-dev
sudo apt-get install python-dev
安装pycrypto
pip install pycrypto
安装distorm3
pip install distorm3
安装完成
安装Windows下的该工具如下
下载链接 https://www.volatilityfoundation.org/releases
查看镜像的系统信息 volatility_2.6_win64_standalone.exe -f .\memory.dmp imageinfo
这个命令我执行的时候时间太长没反应,按了 Ctrl+C 就出来了
将镜像的注册表项导出进行查看 volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./
下面是一些别的工具自己选择性的安装
PIL:图片处理库
pip install pil
OpenPyxl:读写excel文件
pip install openpyxl
ujson:JSON解析
pip install ujson
简单使用
了解–profile信息 python vol.py -f memory.dmp imageinfo
导出镜像中的注册表 python vol.py -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/
搜索扫描文件 python vol.py -f memory --profile=Win7SP1x86_23418 filescan
搜索特定的文件 python vol.py -f memory --profile=WinXPSP2x86 filescan | grep "Oneclick"
将文件导出来 python vol.py -f memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D ./
提取内存中保留的 cmd 命令使用情况
python vol.py -f memory --profile=WinXPSP2x86 cmdscan