volatility安装和出现的问题及解决方法

注意：

本人不会再md上插图片然后再博客上显示出来，呜呜呜，所以可以去csdn上看看吧~

我的csdn博客：volatility安装和出现的问题及解决方法-CSDN博客

一、准备工作

（1）下载所需文件并解压

CTF Misc(2)内存取证基础以及原理，覆盖了大部分题型_ctf 内存取证-CSDN博客

在此博客按照教程下载所需文件

先将volatility-master.zip distorm3-master.zip hotoloti-master.zip(里面有mimikatz.py)准备好

再将它们统统解压

（2）将mimikatz.py移动至volatility-master/volatility/plugins/目录下

将hotoloti-master.zip里的mimikatz.py放入volatility-master/volatility/plugins/目录下

（3）在解压后的Volatility目录与distorm3目录下进行编译

在root权限下分别在解压后的Volatility目录与distorm3目录下进行编译

python2 setup.py install

二、安装pip pip2 setuptools 与相关插件

（1）在root权限下安装pip与pip2

1.安装pip

在终端输入pip，会询问是否安装pip，一路y下去

2.安装pip2

解决kali linux pip2与pip3共存_kali pip2-CSDN博客

照着上面一步一步来

（2）在root权限下安装setuptools

pip 安装包时 error: invalid command ‘egg_info’ 解决办法-CSDN博客

是的，出现**error: invalid command ‘egg_info’**错误时就是setuptools没装

（3）在root权限下安装相关插件

插件
Distorm3（反编译库）：pip install distorm3
Yara（恶意软件分类工具）：pip install yara
PyCrypto（加密工具集）：pip install pycrypto
PIL（图片处理库）：pip install pillow
OpenPyxl（读写excel文件）：pip install openpyxl
ujson（JSON解析）：pip install ujson

三、解决yara库的问题

终端输入 vol.py 发现 （这是yara库的问题）

参考：（volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)_volatility -f memory.raw –profile=win7sp1x64 scre-CSDN博客）

输入 pip install yara

找到yara路径

/usr/local/lib/python2.7/dist-packages

找到libyara.so所在路径

/usr/local/lib/python2.7/dist-packages/usr/lib/

之后在root终端输入（路径不一样可以对着改一改）

ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so

四、安装construct库并测试

vol.py后发现还差个construct

pip install construct即可

之后试一个内存取证的题看看

把需要分析的内存镜像文件拖入volatility-master文件夹里执行

python2 vol.py -f Challenge.raw imageinfo

#f：指定分析的内存镜像文件名

imageinfo是Volatility中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息，以及确定应该使用哪个插件进行内存分析

我的内存镜像文件源于

CTF Misc(2)内存取证基础以及原理，覆盖了大部分题型_ctf 内存取证-CSDN博客

你可以照着此博客上的步骤来熟悉volatility

五、小结

好耶！折腾三天终于弄好了，嘿嘿。

如有问题的话可以问一下

邮箱：clotten@qq.com