Live Forensics | How to Install Volatility 3 on Windows 11 Windows 10 | Symbol Tables Configuration
Summary
TLDRفي هذا الفيديو، يشرح المتحدث كيفية تثبيت واستخدام أداة Volatility Tree على أنظمة Windows 10 وWindows 11. يبدأ بتنزيل Volatility Tree من الموقع الرسمي ويوضح أهمية تثبيت Python 3 قبل البدء. ثم ينتقل إلى تشغيل الأداة عبر PowerShell، لكنه يحذر من أن بعض المكونات الإضافية قد لا تعمل. لحل هذه المشكلة، يشرح كيفية تنزيل جدول الرموز الضروري لتشغيل الأداة بشكل صحيح على نظام Windows. في النهاية، يوضح كيفية تحليل ملفات تفريغ الذاكرة باستخدام الأداة واستخدام بعض الإضافات مثل PSList وNetScan لتحليل النظام.
Takeaways
- 😀 كيفية تثبيت Volatility 3 على Windows 10 و 11 بسهولة.
- 🐍 يجب تثبيت Python 3 على الجهاز قبل تشغيل Volatility 3.
- 💻 تحميل الإصدار 1.00 من Volatility 3 وفك الضغط عنه في محرك C.
- 📂 تأكد من تشغيل Volatility باستخدام PowerShell والانتقال إلى مجلد Volatility.
- ⚠️ يجب تحميل جدول الرموز (Symbols Table) الخاص بـ Windows وتحميله إلى مجلد Volatility.
- 💾 كيفية إنشاء ملف تفريغ الذاكرة (Memory Dump) باستخدام أداة FTK Imager.
- 🔍 تحليل ملف تفريغ الذاكرة باستخدام Volatility للعثور على كلمات المرور واتصالات الشبكة.
- 🔄 استخدام مكونات Volatility مثل 'windows.info' و 'pslist' لتحليل ملفات الذاكرة.
- 📊 عند تحميل جدول الرموز، يتم تشغيل معظم المكونات بنجاح على Windows.
- ✅ التأكيد على أن جميع الخطوات مضمونة للعمل إذا تم اتباع التعليمات بعناية.
Q & A
ما هي المشكلة التي يواجهها العديد من المستخدمين عند تثبيت Volatility 3 على ويندوز 10 أو 11؟
-المشكلة تكمن في عدم تشغيل بعض المكونات الإضافية (plugins) بشكل صحيح، خاصة عند محاولة تشغيل أوامر مثل PSList أو NetScan.
ما هو الإصدار الذي ينصح باستخدامه في الفيديو من أداة Volatility؟
-ينصح باستخدام الإصدار 3.0 من Volatility والمعروف باسم Volatility 3.
ما هي الخطوة الأولى التي يجب القيام بها قبل تشغيل Volatility 3؟
-يجب التأكد من تثبيت Python 3 على الجهاز، حيث أن Volatility 3 يتطلب Python 3 للعمل.
كيف يمكن تحميل Python 3 إذا لم يكن مثبتًا على الجهاز؟
-يمكن تحميل Python 3 من الموقع الرسمي Python.org، حيث يمكن تنزيل الإصدار المناسب وتثبيته بسهولة.
أين يجب حفظ الملفات بعد تنزيل Volatility 3؟
-يجب حفظ الملفات بعد فك الضغط عنها في محرك الأقراص C على الجهاز، ثم الوصول إليها عبر Powershell.
ما هي المشكلة الشائعة عند تشغيل Volatility على نظام ويندوز؟
-بعض المكونات الإضافية (plugins) قد لا تعمل بشكل كامل عند تشغيل Volatility على نظام ويندوز.
ما هو الحل لتشغيل المكونات الإضافية على نظام ويندوز؟
-يجب تنزيل ملفات الرموز (symbols) الخاصة بويندوز من GitHub وحفظها في المجلد المناسب داخل مجلد Volatility 3.
ما هو حجم ملف الرموز (symbols) الذي يجب تنزيله؟
-حجم ملف الرموز حوالي 800 ميجابايت.
كيف يمكن إنشاء نسخة من الذاكرة (Memory Dump) لتحليلها؟
-يمكن استخدام أداة FTK Imager لإنشاء نسخة من الذاكرة عبر اختيار File ثم Capture Memory، وتحديد الموقع لحفظ النسخة.
كيف يتم تشغيل Volatility لتحليل ملف الذاكرة؟
-يتم تشغيل Volatility عبر كتابة الأمر في Powershell: `python volatility.py -f` متبوعًا بمسار ملف الذاكرة المراد تحليله، ثم استخدام المكونات الإضافية مثل Windows.info أو PSList لتحليل البيانات.
Outlines
Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.
Mejorar ahoraMindmap
Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.
Mejorar ahoraKeywords
Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.
Mejorar ahoraHighlights
Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.
Mejorar ahoraTranscripts
Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.
Mejorar ahora5.0 / 5 (0 votes)