volatilityfoundation/volatility3

# Volatility 3：易失性内存提取框架 Volatility 是世界上最广泛使用的框架，用于从易失性内存 (RAM) 样本中提取数字取证数据。提取技术完全独立于被调查的系统，但可以提供对系统运行时状态的可见性。该框架旨在向人们介绍与从易失性内存样本中提取数字取证数据相关的技术和复杂性，并为这一令人兴奋的研究领域的进一步工作提供一个平台。 2019 年，Volatility Foundation 发布了该框架的完全重写版本 Volatility 3。该项目旨在解决过去 10 年中显现出的与原始代码库相关的许多技术和性能挑战。重写的另一个好处是，Volatility 3 可以在更符合 Volatility 社区目标的自定义许可证下发布，即 Volatility Software License (VSL)。有关更多详细信息，请参阅 [LICENSE](https://www.volatilityfoundation.org/license/vsl-v1.0) 文件。 ## 快速开始 1. 安装所需的依赖项： pip install --user -e ".[full]" 2. 查看可用选项： vol -h 3. 要获取有关 Windows 内存样本的更多信息并确保 Volatility 支持该样本类型，请运行 `vol -f windows.info`： vol -f /home/user/samples/stuxnet.vmem windows.info 4. 运行其他一些插件。`-f` 或 `--single-location` 不是严格要求的，但大多数插件都需要单个样本。 有些插件还需要/接受其他选项。运行 `vol -h` 以获取有关特定命令的更多信息。 ## 安装 Volatility 3 需要 Python 3.8.0 或更高版本，并已在 [PyPi registry](https://pypi.org/project/volatility3) 上发布。 ``` pip install volatility3 ``` 如果您想使用 Volatility 3 的最新开发版本，我们建议您手动 clone 此仓库并安装该项目的可编辑版本。 我们建议您使用虚拟环境，以将安装的依赖项与系统包分开。 Volatility 的最新稳定版本将始终是 GitHub 仓库的 `stable` 分支。默认分支是 `develop`。 ``` git clone https://github.com/volatilityfoundation/volatility3.git cd volatility3/ python3 -m venv venv && . venv/bin/activate pip install -e ".[dev]" ``` ## 符号表 各种操作系统的符号表包可从以下地址下载： 用于验证任何符号包文件是否已成功下载或已更改的哈希值可在以下地址找到： 符号表 zip 文件必须按原名称放入 `volatility3/symbols` 目录（或可执行文件旁边的 symbols 目录）中。 找不到的 Windows 符号将被查询、下载、生成并缓存。Mac 和 Linux 符号表必须由 [dwarf2json](https://github.com/volatilityfoundation/dwarf2json) 等工具手动生成。 重要提示：第一次运行带有新符号文件的 volatility 时需要更新缓存。符号包包含大量符号文件，因此可能需要一些时间来更新！ 但是，此过程只需要对每个新符号文件运行一次，因此假设包保留在同一位置，则不需要再次执行。还请注意，它可以被中断，下次运行时会自动重新开始。 请注意：这些符号表具有代表性，并且在创建之时对于 Windows 和 Mac 是完整的。由于编译 Linux 内核的便利性以及无法唯一区分它们，因此无法轻松提供详尽的 Linux 符号表集。 ## 文档 该框架通过 doc strings 进行文档记录，可以使用 sphinx 构建。 最新生成的文档副本可以在以下地址找到： ## 许可证和版权 Copyright (C) 2007-2026 Volatility Foundation All Rights Reserved ## 错误和支持 如果您认为自己发现了错误，请在以下地址报告： 为了帮助我们尽快解决您的问题，请在提交错误时包含以下信息： - 您正在使用的 Volatility 版本 - 用于运行 Volatility 的操作系统 - 用于运行 Volatility 的 Python 版本 - 内存样本的可疑操作系统 - 您用于运行 Volatility 的完整命令行 如需社区支持，请加入我们的 Slack： ## 联系方式 如需信息或请求，请联系： Volatility Foundation Web: Blog: Email: volatility (at) volatilityfoundation (dot) org Twitter: [@volatility](https://twitter.com/volatility)

标签：AlienVault OTX, DAST, Homebrew安装, Python, RAM分析, SecList, Stuxnet, Web归档检索, Windows 调试器, 主机友好, 云资产清单, 内存取证, 内存提取, 内存镜像分析, 取证券证, 取证框架, 库, 应急响应, 恶意软件分析, 批量URL抓取, 数字取证, 数字调查, 无后门, 漏洞分析, 网络安全, 自动化脚本, 自定义DNS解析器, 路径探测, 路径枚举, 逆向工程, 隐私保护