一、安装

官网下载：Volatility 2.6 Release

1、将windows下载的volatility上传到 kali/home 文件夹里面 

3、将home/kali/vol刚刚上传的 移动到use/sbin目录里面

mv volatility usr/local/sbin/

切换到里面

cd /usr/local/sbin/volatility

输入配置环境echo $PATH 

4、报错权限

 5、将文件上移一个目录

Suspicion

压缩文件里面存在两个文件

我们先看一下镜像文件 mem.vmen

 1、查看镜像系统

.\volatility_2.6_win64_standalone.exe -f .\mem.vmem imageinfo 

2、查看进程pid信息

.\volatility_2.6_win64_standalone.exe -f .\mem.vmem --profile=WinXPSP2x86 pslis

发现存在可疑进程。百度看了一下，发现是一款加密软件 那么我们就很容易能想到，suspicion应该是一个被TrueCrypt加密的文件

3、导出进程

 python2 vol.py -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./

• -p是PID
• -D是转储路径将进程转储出来得到2012.dmp

后面更新..............