Мы уже рассказывали про использование Volatility и рассматривали популярные плагины Volatility 2. Сегодня покажу, как установить Volatility на Windows. В сети нет хорошей инструкции, а то, что я нашел не работает.
Еще по теме: Как установить Volatility на Kali Linux
Как установить Volatility на Windows
Волатилити 3 — отличный инструмент для анализа дампа памяти или образов ОЗУ Windows 10 и 11. Я не буду рассказывать, с чем его едят, лучше сразу перейдем к установке.
Итак, для работы Volatility на Windows понадобиться:
- Volatility 3
- Python 3
- Таблицы символов Windows Volatility 3
Установка Python 3
Для работы Волатилити 3 требуется Python 3
Перейдите на официальный сайт Python и скачайте файл установки для Windows.
После скачивания, следуя инструкции, установите Python 3.
Установка Volatility 3 на Windows
Зайдите на официальный сайт Volatility. Перейдите на вкладку Volatility 3 и скачайте последнюю версию файла Source code(zip).
После скачивания, извлеките содержимое архива куда-нибудь на диск C:.
Таблицы символов Windows Volatility 3
Для работы модулей Windows требуются настройки таблиц символов.
Скачиваем большой архив (800мб) windows.zip и закидываем его в папку volitality3 —> symbols.
Использование Volatility 3 на Windows
Все готово к использованию.
Запустите FTK Imager или выберите другой способ создания дампа оперативной памяти Windows.
Закиньте файл дампа в туже папку.
Используя PowerShell, запустите Волатилити указывая файл дампа (в моем случае, под рукой был уже готовый дамп ОЗУ Windows 7).
Пробуем модуль Windows.info:
Пробуем модуль Windows.netscan:
Заключение
У меня получилось установить Волатилити 3 на Windows 11, и, как видите, все конфликтующие плагины (Windows.info, Windows.pslist, Windows.netscan и другие) прекрасно работали.
ПОЛЕЗНЫЕ ССЫЛКИ: