Volatility 免费数字法医软件

世界上最受欢迎和使用的记忆取证工具

波动率是开源存储器提取实用程序框架。这是最受欢迎的事件响应和恶意软件分析框架，用于分析原始内存转储。

概述

波动率框架是一种免费的开源存储法医工具。它是为了监视事件响应和恶意软件分析。波动性记忆转储分析工具是由亚伦·沃尔特斯（Aaron Walters）在学术研究中创建的，同时分析记忆取证。波动率是一种完全开放的工具集合，用Python语言编写并根据GNU通用公共许可证发布。它用于从挥发性内存（RAM）样本中提取数字文物，并支持Linux，Windows和Mac OS。波动性记忆取证框架旨在引入与运行时挥发性内存样本的数字伪像相关的提取技术和复杂性。波动性内存提取实用程序框架均在支持Python的任何平台上运行。波动率取证开源软件具有5.1k GitHub星和1.1k GitHub叉。

系统要求

安装和配置波动性取证工具的要求包括：

Python版本2.6或更高版本（但不是3.x）
Windows，Linux或Mac OS X机器
distorm3用于分析64位窗口

*一些插件需要第三方图书馆

特征

波动率开源内存分析工具具有许多有用且丰富的功能，如下： *检测活动连接 *分析内存转储中的潜在恶意软件 *列出系统中的所有打开文件 *转储注册表蜂箱 *列出用户的密码哈希 *提取浏览器和命令提示符 *列表已加载的驱动程序 *支持各种文件格式 *开源

安装说明

在Linux上安装波动

在本指南中，我们将描述如何在Linux上安装波动率。在任何LTS版本的Ubuntu上安装和配置波动率真的很容易。下面的安装步骤假设所有效率软件包均已安装并在操作系统上最新。让我们开始吧。首先，您可以使用命令从GitHub下载稳定的版本或从GitHub克隆来获取源代码：

    git clone https://github.com/volatilityfoundation/volatility.git

使用命令：在波动性Linux上安装一些软件包/库作为先决条件：

    sudo apt-get install pcregrep libpcre++-dev python-dev -y

该GIT克隆将在系统上创建一个波动率源代码文件夹，现在从那里运行波动率目录。如果您已经下载了zip或tar源代码存档，则有两种安装代码的方法： *提取存档并运行setup.py。这将负责将文件复制到磁盘上的正确位置。仅当您想从其他python脚本作为库中导入波动率的名称空间时，才有必要。 *将存档提取到您选择的目录。为了使用波动率，只需python/path/to/directory/vol.py即可。这是一种更清洁的方法，因为您所选目录的目录从未移动。发布时，它更容易升级到新版本。此外，您可以轻松地将多个版本的波动率安装在单独的目录中，例如/home/me/vol2.0和/home/me/vol2.1。

对于最全面的插件支持，您应该安装以下库和包恭喜！您已成功在Linux上安装了波动率。享受！

常见问题

的波动率是什么？

波动率是世界上最广泛使用的最佳挥发性记忆取证框架。它是由亚伦·沃尔特斯（Aaron Walters）创建的，同时借鉴了分析32位/64位系统中的记忆取证RAM的学术研究。

无波动性吗？

是的，波动率可以免费使用Advance Memory取证框架。

波动性开源吗？

是的，波动率是用于事件响应和恶意软件分析的开源存储器框架。波动性内存分析开源代码存储库可在github上找到。

是否有波动率的替代方法？

波动性数字取证工具的最佳替代方法之一是尸检法医浏览器，可作为Linux，Mac和Windows的免费和开源。其他波动性的其他替代品是Caine（免费，开源），Rekall（免费，开源）和CADO LIVE（免费）。

最新稳定版本的波动率是什么？

最新的稳定版本为2.6。您可以从下载页面获取源代码，Python安装程序或Windows独立可执行文件。

最新开发版本的波动率是什么？

最新的开发版本是2.6，您可以通过使用git（$ git clone git@github.com：volatorityfoundation/volatility.git.git）检查主分支来克隆。

波动性支持哪些操作系统？

您可以查看发布页面上的完整详细信息。

探索

在本文中，我们讨论了波动性框架。要了解其他顶级开源数字法医工具，请访问以下页面：

前5个开源数字法医工具