О фреймворке Volatility на Windows

Что такое Volatility

Открытый набор инструментов, который реализован на Python под лицензией GNU General Public License. Он нужен для извлечение цифровых артефактов из оперативной памяти. Фреймворк поддерживает огромное количество профилей: Windows, Linux, MacOS, списанных dd-дампы и дампы виртуальных машин ( QEMU, VirtualBox).

Как установить Volatility на Windows

Для работы Volatility на Windows понадобиться:

• Volatility 3

• Python 3

• Таблицы символов Windows Volatility 3

Установка Python 3

1. Переходим на официальный сайт Python и качем файл установки для Windows. 2. После скачивания, следуя инструкции, устанавливаем Python 3.

Установка Volatility 3 на Windows

1. Заходим на официальный сайт Volatility.

2. Переходим на вкладку Volatility 3 → качаем последнюю версию файла Source code(zip).

3. Извлекаем содержимое архива на диск C.

Таблицы символов Windows Volatility 3

Скачиваем архив windows.zip → кидаем его в папку volitality3 → symbols.

Используем Volatility 3 на Windows

1. Запускаем FTK Imager или другой способ создания дампа оперативной памяти Windows.

2. Кидаем файл дампа в туже папку.

3. Используя PowerShell, запускаем Volatility. Нужно указать файл дампа (в нашем случае готовый дамп ОЗУ Windows 7).

4. Пробуем модуль Windows.info:

5. Пробуем модуль Windows.netscan: