Volatility取证工具安装教程

linux安装vol2.6

1.准备工作

准备一台虚拟机，拥有python2版本（虚拟机以kali为例）

准备Volatility2.6安装包

volatilityfoundation/volatility: An advanced memory forensics framework

准备反编译库安装包

vext01/distorm3: distorm3

2.安装步骤详解（全程在root用户下操作）

（1）安装pip2

我们需要通过pip2命令安装依赖环境，但是kali并不自带pip2版的命令，因此需要下载安装

curl -o get-pip.py https://bootstrap.pypa.io/pip/2.7/get-pip.py
python2 get-pip.py

达到此效果就算安装成功了，按照下图验证版本

（2）安装依赖环境（crypto）

 pip2 install pycryptodome
 #如果安装失败，可使用以下命令切换国内源
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

（3）导入安装包解压后的安装目录

（4）进入distorm3目录下进行编译

python2 setup.py install

反正一大串东西，这里只截取编译完成后的结尾部分

 可选插件
Distorm3（反编译库）：pip install distorm3
Yara（恶意软件分类工具）：pip install yara
PyCrypto（加密工具集）：pip install pycrypto
PIL（图片处理库）：pip install pil
OpenPyxl（读写excel文件）：pip install openpyxl
ujson（JSON解析）：pip install ujson

（5）安装Volatility

在解压后的Volatility目录下进行编译

 python2 setup.py install

耐心等待，结束后输入vol.py进行检验

可加上-h参数查看相关命令参数

至此，安装完成，插件请参考链接自行安装

mimikatz插件链接：

hotoloti/volatility/mimikatz.py at master · RealityNet/hotoloti

插件依赖环境安装：

sudo pip2 uninstall construct
如果出一大堆红色的错误可能需要升级一下setuptools
pip2 install -U setuptools
之后再重新安装即可

撰写参考链接：

内存取证-volatility工具的使用 （史上更全教程，更全命令）_volatility内存取证-CSDN博客

使用get-pip.py 安装python2 的pip-CSDN博客

vol2以及mimikatz插件安装教程 - Mar10 - 博客园