Volatility 3
Installation et symboles
Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.
Installation
Volatility 3 fonctionne avec Python 3. Utilise un environnement virtuel.
python3 -m venv ~/venvs/vol3
source ~/venvs/vol3/bin/activate
python -m pip install --upgrade pip
python -m pip install volatility3
vol -h
Depuis le dépôt :
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 -m venv .venv
source .venv/bin/activate
pip install -e .
python vol.py -h
Identification du système
vol -f memory.raw windows.info
vol -f memory.raw windows.pslist
Volatility 3 résout les symboles à partir des informations du noyau. Le premier lancement peut être plus lent si les symboles doivent être téléchargés ou construits.
Cache et fonctionnement hors ligne
Prépare les symboles avant une mission isolée. Vérifie le répertoire de cache affiché par :
vol -vv -f memory.raw windows.info
Syntaxe importante
Les options globales se placent avant le plugin.
vol -f memory.raw -o output windows.dumpfiles --pid 1234
Conseil opérationnel
Enregistre la version de Volatility, la version de Python et le hash du dump. Cela facilite la reproductibilité si un plugin évolue.