О фреймворке Volatility на Windows
В этой статье расскажем, как установить и запустить Volatility на Windows, а ещё немного расскажем о самом фреймворке.
Last updated
В этой статье расскажем, как установить и запустить Volatility на Windows, а ещё немного расскажем о самом фреймворке.
Last updated
Открытый набор инструментов, который реализован на Python под лицензией GNU General Public License. Он нужен для извлечение цифровых артефактов из оперативной памяти. Фреймворк поддерживает огромное количество профилей: Windows, Linux, MacOS, списанных dd-дампы и дампы виртуальных машин ( QEMU, VirtualBox).
Для работы Volatility на Windows понадобиться:
Volatility 3
Python 3
Таблицы символов Windows Volatility 3
1. Переходим на официальный сайт Python и качем файл установки для Windows. 2. После скачивания, следуя инструкции, устанавливаем Python 3.
Заходим на официальный сайт Volatility.
Переходим на вкладку Volatility 3 → качаем последнюю версию файла Source code(zip).
3. Извлекаем содержимое архива на диск C.
Скачиваем архив windows.zip → кидаем его в папку volitality3 → symbols.
1. Запускаем FTK Imager или другой способ создания дампа оперативной памяти Windows.
2. Кидаем файл дампа в туже папку.
3. Используя PowerShell, запускаем Volatility. Нужно указать файл дампа (в нашем случае готовый дамп ОЗУ Windows 7).
4. Пробуем модуль Windows.info:
5. Пробуем модуль Windows.netscan: