介绍:
Volatility 是一个非常有用的内存取证框架,主要用于网络犯罪调查、数字证据收集和恶意软件分析。 该工具可轻松用于以下三种操作系统中的任何一种,即 Linux、macOS 和 Windows。 但是,在本文中,我们将与您分享在 Linux Mint 20 系统上安装此工具的过程。
在 Linux Mint 20 上安装 Volatility:
在 Linux Mint 20 系统上安装 Volatility 的过程非常简单,将通过以下步骤进行描述:
第 1 步:在您的系统上安装 Python:
首先,您需要借助如下所示的命令在您的系统上安装与 Volatility 兼容的相关 Python 版本:
$ sudo apt install python2.7
第 2 步:在您的系统上安装其他必需的软件包:
在您的系统上安装 Python 后,您还需要通过运行以下命令在您的系统上安装一些其他附加包:
$ sudo apt install python3-pip python-setuptools build-essential python-dev-is-python2
第 3 步:在您的系统上安装 Distorm 3:
安装完步骤#2 中提到的软件包后,您需要通过执行如下所示的命令在您的系统上安装相关版本的 Distorm:
$ sudo pip install distorm3==3.4.4
Distorm 的成功安装将在您的屏幕上显示以下输出:
第 4 步:在您的系统上安装 Git:
现在,您需要通过运行如下所示的命令在您的系统上安装 Git:
$ sudo apt install git
第 5 步:将 Volatility 存储库克隆到您的系统上:
在您的系统上安装 Git 后,您需要通过执行以下命令将 Volatility 存储库克隆到您的系统上:
$ git clone https://github.com/volatilityfoundation/volatility.git
第 6 步:使新克隆的文件可执行:
将此存储库克隆到您的系统后,您需要借助以下命令使这个新克隆的文件可执行:
$ chmod +x volatility/vol.py
第 7 步:将可执行文件移动到相关目录:
现在,您需要通过运行以下命令将此可执行文件移动到系统的“opt”目录中:
$ sudo mv volatility /opt
第 8 步:创建可执行文件的符号链接:
将目标文件移动到所需目录后,您需要做的最后一件事就是为其创建符号链接以确保其在全球范围内可用。 这可以通过运行如下所示的命令轻松完成:
$ sudo ln –s /opt/volatility/vol.py /usr/bin/vol.py
第 9 步:在您的系统上测试波动率工具:
现在,要测试此工具是否正常工作,您必须运行以下命令:
$ vol.py --info
此命令将在您的终端上产生非常广泛的输出。 您可以向上或向下滚动以查看此工具提供的所有详细信息。 下图显示了此输出的一瞥,这也验证了此工具已成功安装并且在您的系统上也能正常工作。
结论:
按照本指南中解释的步骤逐步进行,您将立即能够在您的系统上安装 Volatility,因此,您将能够记录系统上发生的所有活动。 此外,您还可以追溯所有重要事件,甚至可能避免任何不必要的情况。