目錄

1. 前言
2. Volatility2 介紹
3. 安裝教學
4. 總結

正文

前言

終於進入到了記憶體鑑識的工具教學時間啦！這個工具也是我今年年初再刷題目的時候才學會的，是個很有趣的領域。

Volatility2 介紹

Volatility 是一個用於事件響應和惡意軟體分析的開源記憶體鑑識框架，能夠從電腦的隨機存取記憶體（RAM）中提取、分析和解釋數位證據。

• 注意：目標主機在做取證前盡量不要切斷電源，以免揮發性記憶體資料消失
• 版本：
  • Volatility2 - 採用 python2 撰寫，是目前的穩定版本（2.6 為最終的版本）
  • Volatility3 - 採用 python3 撰寫，持續更新中

Volatility2 和 3 有點互補的作用，有時 Volatility2 會跑很久，但 Volatility3 一下就出來了；有時 Volatility3 的插件可能還不夠完整，就會需要用到 Volatility2 完整的插件。

安裝教學

1. 需要先安裝 python2
2. 點擊 Volatility2.6
3. 下載 volatility-2.6.zip
   
4. 解壓縮後進入到目錄中，安裝好需要的環境

   python2 setup.py install
   

5. 執行程式

   python2 vol.py -h
   

6. 若能夠正常出現幫助的內容，就代表安裝成功了
   
7. 中間會跳這個多 Failed 是正常的，可以根據需求下載這些額外的插件

總結

今天先開心的把工具準備好了，明天會教大家 Volatility2 的指令用法喔~

參考資料

• Github Volatility
• 内存取证-volatility工具的使用 （史上更全教程，更全命令）
• 記憶體分析工具Volatility簡介
• Day2 撥開電腦的記憶找出最黑暗的部分