О фреймворке Volatility на Windows

В этой статье расскажем, как установить и запустить Volatility на Windows, а ещё немного расскажем о самом фреймворке.

Что такое Volatility

Открытый набор инструментов, который реализован на Python под лицензией GNU General Public License. Он нужен для извлечение цифровых артефактов из оперативной памяти. Фреймворк поддерживает огромное количество профилей: Windows, Linux, MacOS, списанных dd-дампы и дампы виртуальных машин ( QEMU, VirtualBox).

Как установить Volatility на Windows

Для работы Volatility на Windows понадобиться:

Volatility 3
Python 3
Таблицы символов Windows Volatility 3

Установка Python 3

1. Переходим на официальный сайт Python и качем файл установки для Windows. 2. После скачивания, следуя инструкции, устанавливаем Python 3.

Установка Volatility 3 на Windows

Заходим на официальный сайт Volatility.
Переходим на вкладку Volatility 3 → качаем последнюю версию файла Source code(zip).

3. Извлекаем содержимое архива на диск C.

Таблицы символов Windows Volatility 3

Скачиваем архив windows.zip → кидаем его в папку volitality3 → symbols.

Используем Volatility 3 на Windows

1. Запускаем FTK Imager или другой способ создания дампа оперативной памяти Windows.

2. Кидаем файл дампа в туже папку.

3. Используя PowerShell, запускаем Volatility. Нужно указать файл дампа (в нашем случае готовый дамп ОЗУ Windows 7).

4. Пробуем модуль Windows.info:

5. Пробуем модуль Windows.netscan:

Last updated 2 years ago

hashtagЧто такое Volatility

hashtagКак установить Volatility на Windows

hashtagУстановка Python 3

hashtagУстановка Volatility 3 на Windows

hashtagТаблицы символов Windows Volatility 3

hashtagИспользуем Volatility 3 на Windows