# О фреймворке Volatility на Windows
### Что такое Volatility
Открытый набор инструментов, который реализован на Python под лицензией GNU General Public License. Он нужен для извлечение цифровых артефактов из оперативной памяти. Фреймворк поддерживает огромное количество профилей: Windows, Linux, MacOS, списанных dd-дампы и дампы виртуальных машин ( QEMU, VirtualBox).
### Как установить Volatility на Windows
Для работы Volatility на Windows понадобиться:
* Volatility 3
* Python 3
* Таблицы символов Windows Volatility 3
### **Установка Python 3**
1\. Переходим на [официальный сайт Python](https://www.python.org/downloads/) и качем файл установки для Windows.\
2\. После скачивания, следуя инструкции, устанавливаем Python 3.
#### Установка Volatility 3 на Windows
1. Заходим на [официальный сайт Volatility](https://www.volatilityfoundation.org/releases).
2. Переходим на вкладку Volatility 3 → качаем последнюю версию файла Source code(zip).
3\. Извлекаем содержимое архива на диск C.
#### **Таблицы символов Windows Volatility 3**
Скачиваем архив [windows.zip](https://www.youtube.com/redirect?event=video_description\&redir_token=QUFFLUhqazNfWWdyU0Y5T2h1UzZ6SDJCaHU5V190VFd0d3xBQ3Jtc0ttZnB3OW9xNkdTaXdOSVF3TzhQRU14YzNIenNwSFhpSlVuVEJBYTJXYVpMYkZmWFRFREdQUGF3aTdJUkhjM1ZQVE1rczVVTmpoM1NvWFZYdUNvdzJZVG1sb0xrV0NjdjdfY0dXWUNMZnpTNVZXbThUOA\&q=https%3A%2F%2Fdownloads.volatilityfoundation.org%2Fvolatility3%2Fsymbols%2Fwindows.zip\&v=-bMde2glwnE) → кидаем его в папку **volitality3** → **symbols**.
### Используем Volatility 3 на Windows
1\. [Запускаем FTK Imager](https://spy-soft.net/memory-dump-ftk-imager-windows/) или [другой способ создания дампа оперативной памяти Windows](https://spy-soft.net/how-to-create-memory-dump-windows/).
2\. Кидаем файл дампа в туже папку.
3\. Используя PowerShell, запускаем Volatility. Нужно указать файл дампа (в нашем случае готовый дамп ОЗУ Windows 7).
4\. Пробуем модуль **Windows.info**:
5\. Пробуем модуль **Windows.netscan**:
