一、简介

Volatility是一款开源的内存取证分析工具，支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证方式。该工具是由python开发的，目前支持python2、python3环境。

二、安装

1、下载地址

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

https://github.com/volatilityfoundation/volatility3

2、安装依赖

1 、升级pip

2、安装依赖，配置环境

pip3 install -r requirements-minimal.txt

python3 setup.py build 
python3 setup.py install

3、安装依赖库

pip3 install -r requirements.txt

三、使用

1、获取系统基本信息

vol.py -f E:\检材二内存\memory windows.info

2、列出所有进程

vol.py -f E:\检材二内存\memory windows.pslist

3、dump出进程

vol.py -f E:\检材二内存\memory windows.pslist --pid 540 --dump

4、查看文件目录

vol.py -f E:\检材二内存\memory windows.filescan

5、查找指定后缀名的文件

6、到处具体文件内容（有问题）