你可以在Release中找到對應你系統（Mac，Win，Linux）的源代碼，當然也可以git clone下來：

git clone https://github.com/volatilityfoundation/volatility.git

上面那個是本體的安裝,需要安裝一些插件

python setup.py build

python setup.py install

安裝setup-tools

wget https://pypi.python.org/packages/45/29/8814bf414e7cd1031e1a3c8a4169218376e284ea2553cc0822a6ea1c2d78/setuptools-36.6.0.zip

unzip setuptools-36.6.0.zip

cd setuptools-36.6.0

python setup.py install

安裝pip

wget https://pypi.python.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz

tar -zxvf pip-9.0.1.tar.gz

cd pip-9.0.1

python setup.py install

安裝python-dev

sudo apt-get install python-dev

安裝pycrypto

pip install pycrypto

安裝distorm3

pip install distorm3

安裝完成

安裝Windows下的該工具如下

下載鏈接 https://www.volatilityfoundation.org/releases

查看鏡像的系統信息 volatility_2.6_win64_standalone.exe -f .\memory.dmp imageinfo
這個命令我執行的時候時間太長沒反應,按了 Ctrl+C 就出來了

將鏡像的注冊表項導出進行查看 volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./

下面是一些別的工具自己選擇性的安裝

PIL:圖片處理庫

pip install pil

OpenPyxl:讀寫excel文件

pip install openpyxl

ujson:JSON解析

pip install ujson

簡單使用

了解–profile信息 python vol.py -f memory.dmp imageinfo

導出鏡像中的注冊表 python vol.py -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/

搜索掃描文件 python vol.py -f memory --profile=Win7SP1x86_23418 filescan

搜索特定的文件 python vol.py -f memory --profile=WinXPSP2x86 filescan | grep "Oneclick"

將文件導出來 python vol.py -f memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D ./

提取內存中保留的 cmd 命令使用情況

python vol.py -f memory --profile=WinXPSP2x86 cmdscan

總結

以上是生活随笔為你收集整理的ctf -- 内存取证分析工具volatility的下载与安装+简单的使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。